Ein Punkt, welcher in der Literatur bei [Gar03] genannt wird, in
meinen Versuchen aber keinerlei Einfluss deutlich zeigte, ist die
Erweiterung der AS-Response um das so genannte PAC, das Privilege
Access Certificate. Das PAC wird als Anhang des TGTs ausgeliefert und
enthält die SID und Gruppenrechte des authentifizierenden Nutzers.
Dadurch wird versucht, die Anfragenmenge in Folge einer Anmeldung zu
reduzieren. Wird das PAC nicht ausgeliefert, werden die enthaltenen
Informationen durch den Clienten aus dem LDAP erfragt. Es entsteht
also ein Overhead von einer oder wenigen LDAP-Anfragen durch einen
Nicht-Windows-KDC. Probleme entstanden durch diesen Sachverhalt
allerdings mit älteren Nicht-Windows-Kerberos-Clienten in der
Vergangenheit aus dem Punkt, dass die Gruppenrechte natürlich recht
umfangreich sein können, wodurch ein UDP-Paket, welches üblicherweise
das TGT liefert, nicht ausreicht, um das TGT und PAC zu liefern. Daher
fordert in solchen Fällen ein Windows-KDC den Clienten auf, einen
TCP-Retry durchzuführen. Ältere Kerberos-Clienten können dies nicht,
da der Standard ursprünglich nur UDP als Protokoll vorsah. Da die
Klienten in der hier gemachten Betrachtung hauptsächlich
Windows-Systeme sind und die neueren Implementierungen der Heimdal-
und MIT-Entwicklungen ebenso TCP-Anfragen unterstützen, soll hier
nicht weiter darauf eingegangen werden.
Generell ist zu erwähnen, dass Literatur, die die Integration von
Windows und anderen Systemen anpreist, in den überwiegenden Fällen auf
eine Zentralisierung mit Windows Servern im Kern hinausläuft und die
Datenübernahme aus anderen üblichen Quellen in ein Active Directory
und den Anschluss verschiedener Clientensysteme an das Windows System
beschreibt. Typische Vertreter, deren Titel mich anderes vermuten
ließen, sind [Sch03] und [Bod05]. Dass dies
offenbar nach Vorstellung vieler Seiten der sinnvollere Weg ist,
beschreibt ebenfalls das MS Technet Paper [Win00b].
So lassen sich beispielsweise auch die Keytabs, die ein
Unix-Kerberos-System als Client für das Service- oder Host-Principal
nutzt, aus dem Windows KDC per -Werkzeug generieren und
Schlüssel auf diesem Weg exportieren. Hingegen ist eine
Importfunktion, obgleich in der Hilfe erwähnt, nicht implementiert.
Somit lassen sich nicht einfach vorhandene Schlüssel aus einem externen
Kerberos-System in einen Domaincontroller importieren.