UNIVERSITÄTSRECHENZENTRUM
TU ChemnitzURZZeitungAusgabe 4/2003

Windows XP - Authentifizierungstechnologie

Der Artikel beschreibt Auswahl und Einordnung der, im URZ eingesetzten Authentifizierungstechnologie für die Plattform Windows XP. Die eingesetzte Lösung "pGina" sowie damit verbundene Entwicklungen an einem AFS-Authentifizierungs-Plugin werden detaillierter dargestellt.

Im Rahmen der Bereitstellung von PCs in einer Poolumgebung wie den öffentlichen Ausbildungspools werden an die Betriebssystemkonfiguration besondere Anforderungen gestellt. Eine besondere Rolle spielen die Authentifizierung und die Anbindung der Homeverzeichnisse für die Ablage persönlicher Daten.

Anforderungen

Ausgehend von den Erfahrungen im Betrieb der Ausbildungspools und administrierten Mitarbeiter-PCs unter Windows NT ergeben sich neue Anforderungen an die Authentifizierungstechnologie. Das bisher eingesetzte Modell einer Windows-Domain hat zwar eine Reihe von Vorteilen, wenn man vorrangig auf die vom Hersteller angebotenen Technologien und Randbedingungen eingehen kann, erreicht aber in einer heterogenen Umgebung schnell seine Einsatzgrenzen.
Der Einsatz der Nachfolgetechnologie Active Directory prägt die Charakteristika der Domain-Technologie noch deutlicher, so dass eine Integration in die vorhandene Infrastruktur (Datennetz, Fileserving, Authentifizierungsdatenbasis) nicht realistisch erscheint. Somit ergeben sich folgende Anforderungen:

• Authentifizierung gegenüber AFS/Kerberos
• Keine Bindung an Windows-Domain

GINA - Windows-Authentifizierung

Der Authentifizierungsmechanismus der Betriebssysteme WinNT, Win2K, WinXP basiert auf GINA (Graphical Identification and Authentication), einer ersetzbaren Bibliothek, welche u.a. die Anmeldung und Passwortverifikation realisiert. Microsofts Platform SDK enthält Dokumentationen sowie einige Codeteile für die Entwicklung eigener Authentifizierungsschnittstellen.
Darauf beruhen einige zum Teil frei verfügbare GINA-Replacements.

• Doug Scoular: UNIX Integration GINA replacement
• Nigel Williams: NISGINA
• Naomaru Itoi: NI_PAM
• pGina

Einige dieser Entwicklungen existieren bereits seit einigen Jahren. Weiterentwicklungen sind eher selten zu verzeichnen. Auf Grund der aktuellen Entwicklung und Lizenzierung unter der GPL von pGina hat sich das URZ für diese Authentifizierungsbibliothek entschieden. Damit sind spezifische Anpassungen und Weiterentwicklungen möglich. Ein weiterer Vorteil ist das Pluginkonzept für eigene Authentifizierungsmodule.

pGina - Technologie

pGina stellt zunächst einen Ersatz des Windows-Authentifizierungsmechanismus dar. Damit verbunden wird eine neue grafische Schnittstelle zur Eingabe von Nutzerkennzeichen und Passwort angeboten. Diese Oberfläche ist von der Definition neuer Titeltexte bis zur Darstellung eines Begrüßungsbildes konfigurierbar.
Die eigentliche Verifikation von Nutzerkennzeichen und Passwort wird an eine Pluginschnittstelle übertragen. Nach der ersten Installation wird ein sogenanntes Null-Plugin aktiviert, was nur die Funktion von pGina überprüfen lässt. Aktuell werden eine Reihe verschiedener Authentifizierungsplugins zu pGina angeboten. Beispielsweise LDAPAuth, Slashdot-Plugin, POP3-Plugin, NIS-Plugin usw. Diese Plugins sind größtenteils durch Nutzer von pGina entwickelt worden. Unterstützt wird die Pluginentwicklung durch Bereitstellung eines pGina Plugin SDK mit Dokumentationen, Spezifikationen, einer Testumgebung und Beispielcode.

pGina - AFS-Plugin

Ausgehend von den Anforderungen nach einer zentralen Authentifizierungsdatenbasis wurde im URZ der TU Chemnitz ein neues pGina-Plugin zur Authentifizierung gegenüber AFS/Kerberos entwickelt. Konkret bedeutet das, dass für die erfolgreiche Anmeldung die Loginkennzeichen-Passwort-Kombination gegenüber der AFS-Zelle des Klienten verifiziert wird. Diesen Test realisiert in der Implementierung die AFS-Funktion ka_UserAuthenticateGeneral(). Innerhalb des Plugins werden noch weitere Funktionalitäten erbracht. Zum Beispiel wird geprüft, ob der AFS-Klient läuft.

pGina - Anpassungen

Einer der entscheidenden Vorteile von OpenSource-Entwicklungen ist die Verfügbarkeit des Quellcodes. Erst dadurch ist eine individuelle Anpassung an lokale Gegebenheiten möglich. Obwohl pGina weitgehend konfigurierbar ist, waren noch einige Anpassungen notwendig. Nachfolgend sind die wichtigsten Modifikationen aufgezählt:

• Umsetzung deutschsprachiger Dialoge und Fehlermeldungen
• Anpassung der Nutzerprofil-Technologie auf URZ-spezifische Gegebenheiten
• Festlegen von Homeverzeichnis und Loginscript

Fazit

Durch die enge Bindung des Authentifizierungsp-Plugins an AFS ist auf den WinXP-PCs ein funktionsfähiger AFS-Klient sowie eine exakte Synchronisation der Uhrzeit notwendig. Letzteres übernimmt ein freier NTP-Client.
Mit der Realisierung ist die Nutzung der gleichen Authentifizierungsdatenbasis zwischen verschiedenen Systemplattformen (WinXP, Unix, Linux) möglich geworden.
Die Entkoppelung der WinXP-PCs vom Domain-Modell macht sich in einer deutlich schnelleren Anmeldung bemerkbar.