Kerberos im genannten Kontext

Vieles ist bereits im Theorieteil (siehe 2.2.1) zu Kerberos genannt worden und soll hier als Grundverständnis vorausgesetzt werden. Aufbauend finden sich hier einige Eigenarten und Bemerkungen zur Implementierung der Windows 2003 Server und zum Zusammenspiel einer Windows-Umgebung mit einem externen Kerberos-Realm.

Ein Punkt, welcher in der Literatur bei [Gar03] genannt wird, in meinen Versuchen aber keinerlei Einfluss deutlich zeigte, ist die Erweiterung der AS-Response um das so genannte PAC, das Privilege Access Certificate. Das PAC wird als Anhang des TGTs ausgeliefert und enthält die SID und Gruppenrechte des authentifizierenden Nutzers. Dadurch wird versucht, die Anfragenmenge in Folge einer Anmeldung zu reduzieren. Wird das PAC nicht ausgeliefert, werden die enthaltenen Informationen durch den Clienten aus dem LDAP erfragt. Es entsteht also ein Overhead von einer oder wenigen LDAP-Anfragen durch einen Nicht-Windows-KDC. Probleme entstanden durch diesen Sachverhalt allerdings mit älteren Nicht-Windows-Kerberos-Clienten in der Vergangenheit aus dem Punkt, dass die Gruppenrechte natürlich recht umfangreich sein können, wodurch ein UDP-Paket, welches üblicherweise das TGT liefert, nicht ausreicht, um das TGT und PAC zu liefern. Daher fordert in solchen Fällen ein Windows-KDC den Clienten auf, einen TCP-Retry durchzuführen. Ältere Kerberos-Clienten können dies nicht, da der Standard ursprünglich nur UDP als Protokoll vorsah. Da die Klienten in der hier gemachten Betrachtung hauptsächlich Windows-Systeme sind und die neueren Implementierungen der Heimdal- und MIT-Entwicklungen ebenso TCP-Anfragen unterstützen, soll hier nicht weiter darauf eingegangen werden.
Generell ist zu erwähnen, dass Literatur, die die Integration von Windows und anderen Systemen anpreist, in den überwiegenden Fällen auf eine Zentralisierung mit Windows Servern im Kern hinausläuft und die Datenübernahme aus anderen üblichen Quellen in ein Active Directory und den Anschluss verschiedener Clientensysteme an das Windows System beschreibt. Typische Vertreter, deren Titel mich anderes vermuten ließen, sind [Sch03] und [Bod05]. Dass dies offenbar nach Vorstellung vieler Seiten der sinnvollere Weg ist, beschreibt ebenfalls das MS Technet Paper [Win00b].
So lassen sich beispielsweise auch die Keytabs, die ein Unix-Kerberos-System als Client für das Service- oder Host-Principal nutzt, aus dem Windows KDC per $ktpass$-Werkzeug generieren und Schlüssel auf diesem Weg exportieren. Hingegen ist eine Importfunktion, obgleich in der Hilfe erwähnt, nicht implementiert. Somit lassen sich nicht einfach vorhandene Schlüssel aus einem externen Kerberos-System in einen Domaincontroller importieren.