Aktuelle Arbeiten an der zentralen Kerberos-Authentifizierungsinstanz

Für die Kerberos-Authentifizierungsinstanz am Campus wurden im Rahmen der Sicherheitsinitiative 2015 bis jetzt folgende Änderungen realisiert.

myidmMit der Aktivierung von PreAuth erzielen wir einen deutlichen Sicherheitsgewinn gegenüber sogenannten offline-Attacken.

Die Ablösung von Kerberos4 wird seit längerem von den Entwicklern des Kerberos-Protokolls am MIT angestrebt und umgesetzt.  Abhängigkeiten zu Kerberos4 konnten durch Softwareupdates (hauptsächlich OpenAFS und Kerberos-Softwarepakete) aufgelöst werden.

Mit dem erfolgreichen Update der KDC Server-Software stehen aktuelle Verschlüsselungsverfahren (beispielsweise AES256) für die Kerberos-Schlüssel zur Verfügung. Diese Verschlüsselungsverfahren werden für Nutzeraccounts nach der nächsten Passwort-Änderung aktiv.

Die Aktualisierung der Kerberos-Schlüssel für Dienste wie Web-Trust-Center, E-Mail, SSH-Zugänge und den Speicherdienst AFS ist derzeit in Planung und für das erste Quartal 2016 vorgesehen.
Besondere Aufmerksamkeit erfordert hierbei der Speicherdienst AFS. Für Klienten des Speicherdienstes AFS werden für die Authentifizierung je nach Betriebssystem nachfolgend zusammengestellte Werkzeuge empfohlen. (Hinweise und Anleitungen finden Sie auch unter: https://www.tu-chemnitz.de/urz/storage/afs/access.html)

Microsoft Windows Betriebssysteme:

  • Network Identity Manager aus dem OpenAFS-Installationspaket
  • kinit (im Installationspfad des NetIdMgr) und aklog (im Installationspfad von OpenAFS)

Mac-OSX-Betriebssysteme:

  • kinit und aklog (aus OpenAFS/Auristor-Paket)
  • Auristor-Applet im Menü Systemeinstellungen

Linux-Betriebssysteme:

  • kinit (aus MIT Kerberos Paket) und aklog (aus OpenAFS-Paket)
  • klog.krb5 -t (aus OpenAFS-Paket)
  • heimdal-kinit ist ebenfalls nutzbar, funktioniert aber nicht mit Kerberos-Ticketcache im Kernel-Keyring

Auf Linux-Systemen wird häufig das Authentifizierungsmodule pam_krb5 eingesetzt, welches bei der Anmeldung automatisch ein Kerberosticket und AFS-Token beschafft. In diesem Zusammenhang erfolgt die Konfiguration dieses PAM-Moduls in der /etc/krb5.conf.
Bitte beachten Sie hierbei folgende Hinweise:

  • Für die Beschaffung des AFS-Tokens wurde gegebenenfalls ein Parameter afs_cell im [appdefaults]-Absatz der /etc/krb5.conf angegeben. Prüfen Sie diesen Parameter auf den korrekten AFS-Serviceprincipal:
    afs_cells = tu-chemnitz.de=afs/tu-chemnitz.de@TU-CHEMNITZ.DE
  • pam_krb5-Versionen 2.2.x, welche beispielsweise unter Scientific Linux 5 eingesetzt werden, nutzen nicht mehr unterstützte Kerberos-Protokolle für die Beschaffung des AFS-Tokens.
    In diesem Fall deaktivieren Sie die AFS-Funktion von pam_krb5 und nutzen Sie hierfür zusätzlich das PAM-Modul pam_afs_session.
    Eine Konfigurationsvorlage finden Sie beispielsweise auf dem Computeserver caesar.hrz.tu-chemnitz.de.

Schreibe einen Kommentar