Universitätsrechenzentrum
TU Chemnitz URZ Zeitung Ausgabe 3/2004

Umstellung auf Kerberos Version 5

Kerberos ist ein am Massachusetts Institute of Technology (MIT) entwickeltes universelles Authentisierungsverfahren, welches in Netzen die Identität von Benutzern, Maschinen und Diensten prüft und bestätigt. Das Verfahren wurde Mitte der 1980er Jahre entwickelt, als offener Standard in mehreren RFC's spezifiziert und hat sich seitdem in verschiedenen Umgebungen als Authentisierungsverfahren durchgesetzt.

Das URZ setzt seit 1994 im Zusammenhang mit der Einführung von AFS Kerberos in der Version 4 ein. Dabei benutzen wir serverseitig die zu AFS gehörende Implementation (kaserver) und unterschiedliche Verfahren auf Seite der Clients. So ist das Verfahren z.B. in alle Login- und sonstige Anmeldevorgänge integriert, die unsere Benutzer beim Zugang zu Diensten und Ressourcen des URZ durchlaufen müssen.

Bereits 1993 wurde die Spezifikation von Kerberos Version 5 veröffentlicht. Seitdem wurden zahlreiche Software-Produkte auf diese Version umgestellt. Neuere Implementationen funktionieren nur noch mit dieser Version und lassen sich mit der bei uns betriebenen Version 4 nicht mehr einsetzen. Microsoft setzt ab Windows 2000 Kerberos Version 5 als Authentisierungsverfahren ein. Mit der Veröffentlichung von OpenAFS im Jahr 2000 waren die Voraussetzungen geschaffen, Kerberos Version 5 in AFS zu integrieren, was inzwischen auch geschehen ist. Höchste Zeit also für uns, Kerberos Version 5 zum Einsatz zu bringen.

Nach längerer Vorbereitungszeit und zahlreichen Tests haben wir uns für die Implementation Heimdal der KTH Stockholm entschieden (Heimdal Homepage - http://www.pdc.kth.se/heimdal/). Im August werden wir mit der Umstellung beginnen. Dabei werden zuerst die Server umgestellt (Heimdal "versteht" auch Clients, die Kerberos Version 4 oder das AFS-eigene kaserver-Protokoll "sprechen") und dann schrittweise die Clients.

Da Kerberos Version 5 modernere Verschlüsselungsverfahren einsetzt, müssen die zugehörigen Schlüssel der Benutzer (diese werden aus dem Passwort abgeleitet) in der Kerberos-Datenbasis ergänzt werden. Die dazu notwendigen Aktionen werden wir so transparent wie möglich für unsere Benutzer durchführen. Es ist unser Ziel, dass die Benutzer außer einer Service-Unterbrechung zum Zeitpunkt der Umstellung von dem gesamten Vorgang nichts bemerken. Den Termin dieser Umstellung werden wir rechtzeitig bekannt geben (voraussichtlich an einem der beiden letzten Wochendenden im August).

Weitere Informationen zu diesem Thema finden Sie in den Unterlagen zum Vortrag Vom AFS-kaserver zu Kerberos V5 - http://archiv.tu-chemnitz.de/pub/2004/0035/ .