Next: Gruppenrichtlinie
Up: Active Directory im Detail
Previous: Funktionsebenen
  Contents
Das zentrale Werkzeug zur Authentifizierung ist mit Einführung von
Active Directory von der lokalen NTLM-Authentifizierung auf Kerberos
umgestellt worden. Dies bietet mehrere Vorteile, die durch die
proprietäre Lösung nicht abgedeckt wurden. So ist einerseits die
Koexistenz mit anderen Betriebssystemen erleichtert, meist sind natürlich
andere Systeme als Nutzer von Windows-Ressourcen vorgesehen. Auf
der anderen Seite wird dadurch die Einrichtung der
Vertrauensstellungen unter Nutzung von einheitlichen einmaligen
Ressourcen-Objekten ermöglicht. Eine NTLM-Vertrauensstellung sah vor,
dass der Ressourcenserver beim Domaincontroller des Clienten dessen
Authentifizierung nachfragte. Jetzt ist der Client beziehungsweise
dessen Domaincontroller mit der Aufgabe betraut, die Berechtigungen in
Form von Tickets bei den DCs der Ressourcenserver einzuholen.
Die Kerberos-Implementierung hat natürlich einige Einschränkungen oder
Eigenheiten. So wird standardmäßig eine ARC4-Verschlüsselung
genutzt, deren Implementierung aber beispielweise mit der
Heimdal-Implementierung nicht funktioniert. Weiterhin kann eine
DES-Verschlüsselung genutzt werden, was aber für Objekte im AD
explizit anzugeben ist. Die Auswahl von Hashing-Algorithmen, um
kryptografische Nachrichten zu signieren, ist ebenfalls mit CRC und
dem standardmäßig genutzten MD5 eingeschränkt. MD4 wurde ebenso bei
der Auswahl außen vor gelassen, wie das deutlich sicherere SHA1.
Ist es also vorgesehen, Nicht-Windows-Clienten an ein Active Directory
zu binden, wird empfohlen, explizit auf DES-Schlüsselgenerierung
umzustellen. Im Umkehrschluss muss bei gemischten Umgebungen mit
externen Kerberos-Systemen auf eine Verteilung von funktionsfähigen
Schlüsseln in den genannten Typen geachtet werden.
Neben diesen Punkten der Kerberos-Authentifizierung gibt es einige
Situationen, in denen weiterhin mittels NTLM (NT Lan Manager)
authentifiziert wird. So wird zum Beispiel der Zugriff auf
Netzwerkfreigaben in Form des FQDN beziehungsweise UNC mittels Kerberos
gesteuert, bei Zugriff mittels der IP entscheidet jedoch immer noch der
NTLM über die Berechtigungen. Ähnliche Erfahrungen berichtet die
Universität von Washington auf [Was05], berichten aber auch,
dass es keine abschließende Aufzählung der betreffenden Dienste gibt.
Next: Gruppenrichtlinie
Up: Active Directory im Detail
Previous: Funktionsebenen
  Contents
Marko Damaschke
2006-03-25