Ich werde mich demnächst mit Kerberos befassen müssen und suche Informationen in gedruckter Form oder online. Naja, online etwas zu finden, wird nicht so schwer sein, aber weiß jemand, ob zum Beispiel das Buch von Oreilly etwas taugt?
Hat jemand sich schon mal intensiver mit Kerberos befasst und kann mir sagen, ob derzeit eher Heimdal oder MIT-Kerberos angesagt sind?

Danke,
mamue

Hi,

bei der praktischen Umsetzung hat mit das Buch von Addison-Wesley Longman geholfen, leider aber nicht zu 100%. Was mir dann noch fehlte, habe ich mir online zusammengesucht.

Da das MIT-Kerberos sozusagen das "Original" ist, würde ich mich vorrangig mal damit beschäftigen.

Das ist aber alles rein subjektiv ....

hallo

hab mich mittlerweile erfolgreich mit MIT krb5 auseinander gesetzt
und es auch erfolgreich mit openafs zum laufen bekommen.

angefangen hab ich mit der MIT version von suse 9.3
mittlerweile läuft krb5 auf einem LFS system.

der vorteil von MIT krb5 ist das es einen windows clienten gibt den
man benutzen kann, er läuft auch zuverlässig

es gibt auch ein passendes ldap schema für openldap um die
credential über den openldap server laufen zu lassen.

hab bisher gut erfahrungen gemacht, auch wenn die sache recht
fumelig war.

der vorteil von MIT kerberos ist, soweit ich weiss, das er sozusagen
der standart ist für alle möglichen programme.

ich hab hier module für pam, samba, sasl2, pure-ftpd, u.s.w
ich weiss nicht in wie weit die heimdal anbindung ist an die programe

cu

Ich habe sehr gute Erfahrungen mit der Heimdal-Implementierung gemacht, die von der API her soweit ich weiß vollkommen kompatibel zur MIT-Version ist. Die Heimdal-Implementierung liefert auch eine große Menge an (hilfreichen) Manual Pages mit, ein Merkmal, das ich immer sehr schätze. ;) Ich fand auch das elektronische Handbuch (http://www.h5l.se/manual/heimdal-0-7-branch/info/heimdal.html) sehr gut, das praktischerweise auch bei der Distribution im Texinfo-Format dabei ist.

Danke an alle für die Tipps und Hinweise.
Ich habe mir, weil neuer, das Buch von O'Reilly beschafft und es mittlerweile durchgelesen (naja, fast, die Appendices habe ich mir geschenkt).
Ein bisschen Enttäuscht bin ich, dass Kerberos wohl noch bei weitem nicht bei allen wichtigen Produkten zum Standard gehört - Apache und Cyrus IMAP sollten gehen, aber Samba derzeit leider nicht. Samba4 wird wohl Kerberos support bekommen (Heimdal übrigens). Das Zusammenspiel von OpenLDAP als Backend für Kerberos ist meiner Ansicht nach noch nicht perfekt - bei den Lösungen, die ich gesehen habe, bekommt jeder kerberos-User einen Eintrag in einem seperaten Zweig des Baumes, so dass es zu jedem User zwei Einträge gäbe. Wie das mit Samba4 + LDAP + Kerberos wird, mag ich mir im Moment noch nicht ausmahlen.
Das heißt natürlich nicht, dass das Thema abgehakt ist. Ich denke, der Ansatz ist langfristig auf jeden Fall richtig.
Ach ja, derzeit nehme ich MIT-Kerberos, einfach weil es bei SUSE 10.0 dabei ist, aber das mag sich mit Samba4 ändern.

mamue

hallo



....aber Samba derzeit leider nicht. Samba4 wird wohl Kerberos support bekommen
(Heimdal übrigens).


warum auch, du kannst doch bei windows einen auth. gegen kerberos machen.
ich hab das bei einem kunden super am laufen.
schon bei der anmeldung an windows kannst du ein kerberos ticket erhalten,
dafür gibt es kfw (http://web.mit.edu/Kerberos/dist/index.html) (kerberos 4 windows) im netz.
wenn der auth bei der windows anmeldung falsch ist bekommst du auch kein
kerberos ticket und damit auch kein login.

obwohl ich in letzter seit dazu übergegangen bin samba durch OpenAFS zu ersetzten.



Das Zusammenspiel von OpenLDAP als Backend für Kerberos ist meiner Ansicht nach
noch nicht perfekt - bei den Lösungen, die ich gesehen habe, bekommt jeder
kerberos-User einen Eintrag in einem seperaten Zweig des Baumes, so dass es zu
jedem User zwei Einträge gäbe.

stimmt auch nicht ganz. für ldap gibt es ein kerberos schema.
und im ldap baum kannst dann für jeden user ein krb5Principal und ein krb5Realm
anhängen.

so läuft das auch auf meinen servern

also ich hab kerberos 5 bei mir auf einer server installation am laufen.
als zentrales backend benutze ich pam was gegen kerberos läuft und kerberos
hollt sich alles was er benötigt aus dem ldap backend, und bisher läuft das sehr
zufrieden stellend.
obwohl die installation recht trickie ist und umständlich was sich aber auch lohnt.

und so weit ich weiss kann man eigentlich jeden service gegen kerberos laufen
lassen. bei mir läuft z.b postfix/cyrus, pure-ftpd, openssh, apache, windows,
openafs, pam, openldap, radius, usw.
und wenn ein service mal nicht kerberos unterstützt bring kerberos ein eigenes
programm mit z.b. ksu, kvno, rcp, rlogin, rsh, sclient, telnet, uuclient, usw.

cu

Danke. Vieles versteht man wohl erst richtig, wenn man es macht. Damit fange ich gerade erst an (Testumgebung einrichten etc.)


mamue

Hi,

Infos zu Samba und Kerberos (für die Authentifizierung der Benutzer) findest du z.B. hier:

http://www.pro-linux.de/work/server/samba3-domaene.html#ToC5
http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-de-4/s1-samba-servers.html

Und wer behauptet, dass Samba hier Kerberos nicht unterstützt, der lügt!. ;)