| Red Hat Linux 7.1: Das Offizielle Red Hat Linux Referenzhandbuch | ||
|---|---|---|
| Zurück | Kapitel 9 Verwenden von Kerberos 5 in Red Hat Linux | Vor |
Dank Kerberos wird eine Bedrohung, die ganz allgemein für die Sicherheit im Netzwerk besteht, ausgeschaltet. Weshalb also wird Kerberos dann nicht in jedem Netzwerk verwendet? Die Implementierung von Kerberos kann sich aus mehreren Gründen schwierig gestalten:
Es existiert keine schnelle und standardisierte skriptbasierte Lösung für das Übertragen von Benutzerpasswörtern von einer standardmäßigen UNIX-Passwortdatenbank (wie z.B. /etc/passwd oder /etc/shadow)in eine Kerberos- Passwortdatenbank. Eine übertragung ist technisch möglich. Dies im Einzelnen zu beschreiben, würde dem Umfang dieses Kapitels überschreiten. Hilfe bei der Entscheidung, ob eine Passwortübertragung für Ihre Kerberos-Installation sinnvoll ist, finden Sie unter Kerberos FAQ http://www.nrl.navy.mil/ CCS/people/kenh/kerberos-faq.html#pwconvert Question 2.23 zusätzliche Informationen erhalten Sie auch unter Abschnitt namens Weitere Informationen.
Kerberos ist nur teilweise mit dem Pluggable Authentication Modules-System (PAM-System) kompatibel, das die meisten Server in Red Hat Linux verwenden. Weitere Informationen hierzu siehe Abschnitt namens Kerberos und Pluggable Authentication Modules (PAM).
Damit eine Anwendung Kerberos verwenden kann, müssen ihre Quellen so modifiziert werden, dass die geeigneten Aufrufe an die Kerberos-Bibliotheken gesendet werden können. Bei einigen Anwendungen ist der hierfür erforderliche Programmieraufwand möglicherweise zu groß. Bei anderen Anwendungen müssen an dem von den Netzwerkservern und ihren Clients verwendeten Protokoll Änderungen vorgenommen werden. Auch das kann unter Umständen einen zu großen Aufwand bedeuten. Zudem besteht die Möglichkeit, dass einige Closed Source-Anwendungen einfach nicht mit Kerberos arbeiten können.
Kerberos nimmt an, dass Sie sichere Hosts auf einem unsicherem Netzwerk verwenden. Seine wichtigste Augfabe ist der Schutz von Passwörtern im Klartext wenn Sie im Netzwerk versendet werden. Wenn jedoch irgendein anderer als der richtige Benutzer tatsächlich Zugriff auf alle Hosts hat (insbesondere auf den Host, der die Tickets zur Authentifizierung enthält) besteht die Gefahr, dass das gesamte Kerberos Authentifizierungssystem abgehört werden kann.
Falls Sie sich für den Einsatz von Kerberos in Ihrem Netzwerk entscheiden, müssen Sie sich außerdem bewusst sein, dass Kerberos "entweder ganz oder gar nicht" eingesetzt wird. Wenn also noch irgendwelche Dienste in Verwendung bleiben, die Passwörter im Klartext übermitteln, dann besteht weiterhin Gefahr, dass Ihre Passwörter abgehört werden können, d.h., es ergibt sich für Ihr Netzwerk keinerlei Vorteil aus der Verwendung von Kerberos. Wenn Sie Ihr Netzwerk durch Kerberos sichern möchten, müssen Sie entweder alle Anwendungen, die Passwörter im Klartext versenden, kerberisieren (sie so einrichten, dass sie mit Kerberos arbeiten können), oder ganz auf die Verwendung dieser Anwendungen in Ihrem Netzwerk verzichten.