next up previous contents
Next: Gruppenrichtlinie Up: Active Directory im Detail Previous: Funktionsebenen   Contents

Authentifizierung

Das zentrale Werkzeug zur Authentifizierung ist mit Einführung von Active Directory von der lokalen NTLM-Authentifizierung auf Kerberos umgestellt worden. Dies bietet mehrere Vorteile, die durch die proprietäre Lösung nicht abgedeckt wurden. So ist einerseits die Koexistenz mit anderen Betriebssystemen erleichtert, meist sind natürlich andere Systeme als Nutzer von Windows-Ressourcen vorgesehen. Auf der anderen Seite wird dadurch die Einrichtung der Vertrauensstellungen unter Nutzung von einheitlichen einmaligen Ressourcen-Objekten ermöglicht. Eine NTLM-Vertrauensstellung sah vor, dass der Ressourcenserver beim Domaincontroller des Clienten dessen Authentifizierung nachfragte. Jetzt ist der Client beziehungsweise dessen Domaincontroller mit der Aufgabe betraut, die Berechtigungen in Form von Tickets bei den DCs der Ressourcenserver einzuholen.
Die Kerberos-Implementierung hat natürlich einige Einschränkungen oder Eigenheiten. So wird standardmäßig eine ARC4-Verschlüsselung genutzt, deren Implementierung aber beispielweise mit der Heimdal-Implementierung nicht funktioniert. Weiterhin kann eine DES-Verschlüsselung genutzt werden, was aber für Objekte im AD explizit anzugeben ist. Die Auswahl von Hashing-Algorithmen, um kryptografische Nachrichten zu signieren, ist ebenfalls mit CRC und dem standardmäßig genutzten MD5 eingeschränkt. MD4 wurde ebenso bei der Auswahl außen vor gelassen, wie das deutlich sicherere SHA1. Ist es also vorgesehen, Nicht-Windows-Clienten an ein Active Directory zu binden, wird empfohlen, explizit auf DES-Schlüsselgenerierung umzustellen. Im Umkehrschluss muss bei gemischten Umgebungen mit externen Kerberos-Systemen auf eine Verteilung von funktionsfähigen Schlüsseln in den genannten Typen geachtet werden.
Neben diesen Punkten der Kerberos-Authentifizierung gibt es einige Situationen, in denen weiterhin mittels NTLM (NT Lan Manager) authentifiziert wird. So wird zum Beispiel der Zugriff auf Netzwerkfreigaben in Form des FQDN beziehungsweise UNC mittels Kerberos gesteuert, bei Zugriff mittels der IP entscheidet jedoch immer noch der NTLM über die Berechtigungen. Ähnliche Erfahrungen berichtet die Universität von Washington auf [Was05], berichten aber auch, dass es keine abschließende Aufzählung der betreffenden Dienste gibt.


next up previous contents
Next: Gruppenrichtlinie Up: Active Directory im Detail Previous: Funktionsebenen   Contents
Marko Damaschke 2006-03-25