Firmenbrief

17.09.2014

Kerberos in CoreBiz 6.0


Über die Integration von Samba 4 in CoreBiz haben wir vor Kurzem berichtet - dies bringt ein weiteres, spannendes Feature mit sich: Kerberos. Der Höllenhund der Serverdienste ist ein verteilter Authentifizierungsdienst, der unter anderem eine sichere und einheitliche Benutzer-Authentifizierung und Single-Sign-On ermöglicht.

Kerberos ist fester Bestandteil von Samba 4 und damit auch vom CoreBiz 6.0 Base Server. Die Funktionsweise kann man sich folgendermaßen vorstellen: Ein Client fordert mit seinem Benutzername und Passwort ein so gennantes  Ticket Granting Ticket (TGT) beim Kerberos Server an. Mit diesem TGT kann der Benutzer weitere Tickets für Dienste mit Kerberos-Unterstützung anfordern. Das dienstspezifische Ticket ist nun ausreichend, um sich für einen Dienst zu verifizieren. Eine zusätzliche Eingabe des Benutzernamens und/oder Passworts ist nicht nötig. Der Dienst wiederum prüft, ob es sich um ein gültiges Ticket handelt und ob er dem Benutzer den Zugriff erlaubt.

Ein einfacher Anwendungsfall auf der Kommandozeile ist beispielsweise LDAP. Hat sich ein Administrator bereits ein Kerberos-Ticket besorgt, kann er ohne weitere Eingabe eines Benutzernamens/Passworts mit den LDAP-Utils auf den LDAP-Server zugreifen. Ein kleines, aber nicht unwichtiges Detail: Viele Applikationen und Dienste mit Kerberos-Unterstützung nutzen Kerberos auch, um ihre Session-Daten zu verschlüsseln. Man muss sich also nicht um zusätzliche Sicherheits-Mechanismen wie zum Beispiel SSL/TLS kümmern.

Aber nicht nur für Administratoren ist Kerberos interessant: Auch Dienste wie der Zarafa-Groupware-Server unterstützen Kerberos. Der Client eines Benutzers kann dann so konfiguriert werden, dass bereits bei der Anmeldung an das System ein Kerberos-Ticket angefordert wird und somit die Voraussetzungen für Single-Sign-On erfüllt sind. Der Login für Zarafa wird dann nicht mehr mit einer weiteren Eingabe des Benutzernamens plus Passwort durchgeführt, sondern passwortlos mit Hilfe des Kerberos-Tickets.  

Neben Administratoren und Benutzern können auch die Systeme selbst Kerberos benutzen. Mit so genannten Maschinen-Accounts ist es möglich bestimmte Zugriffe zu erlauben. In CoreBiz 6.0 wird so unter anderem der Zugriff auf das CoreBiz Directory gesteuert. Ist ein CoreBiz-System Mitglied in einer CoreBiz-Domäne, kann es nun über Kerberos-Authentifizierung zentrale Daten aus dem CoreBiz Directory anfordern.