Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
1
SSH-Authentifizierung über eine ADS mittels Kerberos 5 Roland Mohl 19. Juli 2007
2
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de2 Inhalt Ausgangssituation am RRZE Zielsetzung des Projekts Beschreibung der Testumgebung Funktionsweise von Kerberos 5 Durchführung Test des Gesamtsystems Fazit
3
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de3 Ausgangssituation am RRZE Netzwerkdienste in einer heterogenen Umgebung Authentifizierung für jeden Netzwerkdienst Ablage der Benutzerdaten auf jedem der Dienstserver Oftmals gleiches Passwort für alle Dienste aus Bequemlichkeit Dienste mit unverschlüsselter Übertragung von Benutzerdaten
4
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de4 Zielsetzung des Projekts Einfacheres Arbeiten durch SingleSignOn und Erhöhung der Sicherheit Zentrale Benutzerverwaltung (Active Directory) Nur verschlüsselte Übertragung von Benutzerdaten Test eines Gesamtsystems mit Kerberos 5, Active Directory und einem SSH-Dienst Test anhand eines SSH-Dienstes auf einem SLES10 SSH-Zugriff von fünf Windows XP Clients aus
5
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de5 Beschreibung der Testumgebung Vorhandene Komponenten der Testumgebung VMware-Host vmware1 BIND DNS-Server auf einem SLES10 Zusätzliche Komponenten Zwei Windows 2003 Server für ADS- und DNS-Dienst SLES10 für SSH-Dienst Fünf Windows XP Clients
6
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de6 Funktionsweise von Kerberos 5 Kerberos-Server Key Distribution Center (KDC) Benutzerdatenbank Ticket Granting Service (TGS) Client 2. User X + Passwort = OK 5. User X mit TGT darf Dienst nutzen 1. Anfrage nach TGT User X Passwort 3. Antwort TGT 4. Anfrage ST mit TGT 6. Antwort ST Dienst-Server 7. Anfrage nach Service mit ST 9. Erlaubnis für Dienst
7
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de7 Durchführung – Vorbereitung und MS-Komponenten Vorbereitung aller Komponenten Kopieren und Konfigurieren der VMware-Images Grundkonfiguration Aufsetzen der zwei Windows-2003-Server Installation des Active Directory Service per Skript DNS-Konfiguration Aufsetzen der Windows-XP-Clients Einbinden in das Active Directory Installation von Putty (kerberized)
8
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de8 Durchführung – SSH-Dienst Aufsetzen des SLES10 Installation der Kerberos-Pakete krb5 und krbclient Konfigurieren des Kerberos-Clients Konfigurieren des SSH-Dienstes Exportieren der Keytabs User in der ADS Tool ktpass der Support-Tools des Windows 2003 Servers Importieren der Keytabs am SSH-Server Keytabs einlesen Eingelesene Daten in Standard-Keytab schreiben
9
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de9 Test des Gesamtsystems Anmeldung an Domäne an SSH-Dienst per SingleSignOn Ausfall des primären Domaincontrollers Anmelden an die Domäne SSH-Anmeldung per SingleSignOn Überprüfung der Tickets mit den Tools Kerbtray (Windows) Klist (Linux)
10
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de10 Kerbtray
11
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de11 Fazit Keine zusätzlichen Kosten für Software Schnelle und einfache Integration in realen Betrieb durch die gesammelten Erfahrungen Mehr Komfort für Nutzer beim Arbeiten Erhöhung der Sicherheit bei Authentifizierungen Das Projekt war ein voller Erfolg
12
SSH-Authentifizierung über eine ADS mittels Kerberos 5 02.06.2015roland.mohl@rrze.uni-erlangen.de12 Vielen Dank für Ihre Aufmerksamkeit! Danke!
Ähnliche Präsentationen
