Kerberos - Single Sign-on in gemischten Linux/Windows-Umgebungen

Kerberos - Single Sign-on in gemischten Linux/Windows-Umgebungen

von: Mark Pröhl

dpunkt, 2012

ISBN: 9783864910951

Sprache: Deutsch

558 Seiten, Download: 10912 KB

 
Format:  EPUB, PDF, auch als Online-Lesen

geeignet für: geeignet für alle DRM-fähigen eReader geeignet für alle DRM-fähigen eReader Apple iPad, Android Tablet PC's Apple iPod touch, iPhone und Android Smartphones Online-Lesen PC, MAC, Laptop


 

eBook anfordern

Mehr zum Inhalt

Kerberos - Single Sign-on in gemischten Linux/Windows-Umgebungen



Inhaltsverzeichnis


I    Kerberos

1          Kerberos im Überblick

1.1       Ursprung am MIT: Das Athena-Projekt

1.2       Versionen des Kerberos-Protokolls

1.3       Standardisierung

1.4       Implementierungen

1.4.1    Kerberos v4

1.4.2    Kerberos v5

1.4.3    Interoperabilität

2          Grundlagen der Netzwerkauthentisierung mit Kerberos

2.1       Authentisierung

2.1.1    Authentisierungsmerkmale

2.1.2    Problematik der Passwörter

2.1.3    Lokale Anmeldung vs. Netzwerkauthentisierung

2.2       Authentisierung mit Kerberos

2.2.1    KDC

2.2.2    Realm

2.2.3    Principals

2.2.4    Tickets

2.2.5    Gegenseitige Authentisierung

2.2.6    Lokale Anmeldung und Kerberos

2.3       Delegation

2.4       Autorisierung, Zugriffskontrolle und Namensdienste

2.4.1    Authentisierung ist Voraussetzung

2.4.2    Dienste und Identitäten

2.4.3    Autorisierung und Kerberos

2.5       Single Sign-on (SSO)

2.6       Zusammenfassung

3          Kerberos aus Anwendersicht

3.1       Die Beispielumgebung

3.2       Lokale Anmeldung

3.3       Der Credential Cache

3.4       Anmeldung an Netzwerkdiensten

3.5       Delegation

3.6       Eine Demo-Webseite

3.7       Umgang mit dem Credential Cache

3.8       Zusammenfassung

4          Sicherheit und Kryptografie

4.1       Sicherheitsüberlegungen

4.1.1    Allgemeine Sicherheitsanforderungen

4.1.2    Die beteiligten Systemkomponenten

4.1.3    Anforderungen an Kerberos

4.2       Kryptografie in der Netzwerksicherheit

4.2.1    Vertraulichkeit

4.2.2    Integrität

4.2.3    Authentisierung

4.2.4    Passwörter, Schlüssel und Schlüsselaustausch

4.2.5    Zusammenfassung

5          Wie funktioniert Kerberos v5?

5.1       Das Funktionsprinzip im Überblick

5.1.1    Voraussetzungen

5.1.2    Das einstufige Kerberos-Verfahren

5.1.3    Diskussion

5.1.4    Das zweistufige Kerberos-Verfahren

5.1.5    Zusammenfassung

5.2       Das Funktionsprinzip im Detail

5.2.1    Die KDC-Datenbank

5.2.2    Der Authentication Service (AS)

5.2.3    Zugriff auf kerberisierte Dienste

5.2.4    Der Ticket-Granting Service (TGS)

5.3       Zusammenfassung

6          Kerberos für Fortgeschrittene

6.1       KDC-Optionen

6.1.1    Optionen für Ticket Renewing

6.1.2    Optionen für Ticket Postdating

6.1.3    Optionen für die Kerberos-Delegation

6.1.4    Sonstige Optionen

6.2       Ticket Flags

6.2.1    Flags für Ticket Renewing

6.2.2    Flags für Ticket Postdating

6.2.3    Flags für die Kerberos-Delegation

6.2.4    Sonstige Flags

6.3       AP-Optionen

6.4       Tickets automatisiert erneuern

6.5       Tickets für die Zukunft

6.6       Delegation zum Ersten

6.6.1    Ticket Forwarding

6.6.2    Ticket Proxying

6.7       Authentisierung zwischen Realms

6.7.1    Grundsätzliches zu Vertrauensstellung

6.7.2    Zwei Realms

6.7.3    Mehr als zwei Realms

6.8       Namenskanonisierung und Referrals

6.8.1    Kanonisierung der Client-Principal-Namen

6.8.2    Kanonisierung der Dienste-Principal-Namen

6.8.3    Verweise an entfernte Realms

6.9       Kerberos und Autorisierungsdaten

6.10     User-to-User-Authentisierung

6.11     Delegation zum Zweiten

6.11.1  Constrained Delegation

6.11.2  Protocol Transition

6.11.3  Diskussion

6.12     Initiale Authentisierung mit Zertifikaten

6.12.1  Eine Lösung für die Passwort-Problematik

6.12.2  Das Funktionsprinzip von PKINIT

6.12.3  Fazit

II    Zentrale Infrastrukturen

7          Grundlegende Infrastruktur

7.1       Überblick

7.2       DNS-Namensauflösung mit BIND

7.2.1    BIND installieren

7.2.2    Zonen einrichten

7.2.3    Starten und Testen

7.3       Zeitsynchronisation mit NTP

7.4       Certificate Authority (CA) mit OpenSSL

7.4.1    Einrichtung der CA

7.4.2    Einen Zertifikats-Request erzeugen

7.4.3    Das Zertifikat unterschreiben

7.5       Verzeichnisdienst mit OpenLDAP

7.5.1    Installation und Konfiguration

7.5.2    LDAP-Datenbank für dc=example,dc=com

7.5.3    Ein erster Test

7.5.4    Sicherheit

8          Das Key Distribution Center von MIT Kerberos

8.1       Übersicht

8.2       Softwareinstallation

8.3       Konfiguration

8.3.1    Der Master Key der KDC-Datenbank

8.3.2    Zeitangaben bei MIT Kerberos

8.3.3    Verschlüsselungstypen

8.3.4    Die Datei kdc.conf

8.4       Initialisierung der KDC-Datenbank

8.4.1    Die Datenbank mit kdb5_util initialisieren

8.4.2    Die initiale Datenbank

8.4.3    Mit kadmin.local weitere Principals anlegen

8.4.4    Master Key in Stash-Datei ablegen

8.5       Starten des KDC

8.6       Ein erster...

Kategorien

Service

Info/Kontakt