next up previous contents
Next: Benutzerverwaltung Up: Kerberos im genannten Kontext Previous: Passwortverwaltung mit externem Kerberos   Contents

Anmerkung zu OpenAFS & Windows Server 2003

Ungünstigerweise war es im Rahmen der Tests nicht möglich, auf den Windows Server 2003 Systemen ein gültiges Token für den OpenAFS-Clienten in der Version 1.4.0 und auch 1.3.8 zu erhalten. Durch die Analyse des Netzwerkverkehrs war festzustellen, dass die Clienten ausschließlich versuchten, Kerberos Tickets der Version 4 zu erlangen, was aus Sicherheitsgründen abgelehnt wird. Dieses Phänomen wurde auf allen in der Teststellung installierten Windows Server 2003 Instanzen beobachtet. Normalerweise sollte nach dem Scheitern des Versuchs Kerberos V4-Tickets zu erlangen, auf Kerberos V5 umgeschaltet und somit der Zugriff gewährt werden. Auf den Windows XP Instanzen der Teststellung hat dies auch unproblematisch funktioniert, allerdings war der Umstand auf den Server Systemen nicht nachvollziehbar. Dadurch war es auch mit Hilfe von Werkzeugen, wie dem "`MIT Kerberos for Windows"', nicht möglich, ein gültiges Ticket zu erlangen und somit auf geschützte Bereiche des AFS zuzugreifen.
Da dieses Phänomen bisher nicht beobachtet wurde, wird die Möglichkeit in Betracht gezogen, dass die Probleme ursächlich im Zusammenhang mit der Firewallkonstruktion der Teststellung beziehungsweise eventuell einem bestimmten Update oder einer bei der Installation gemachten Einstellung stehen.

Wie ein nun schon mehrfach genanntes Nutzerobjekt aussehen könnte beziehungsweise welche Attribute für ein solches Objekt interessant wären, soll im folgenden Abschnitt besprochen werden.


next up previous contents
Next: Benutzerverwaltung Up: Kerberos im genannten Kontext Previous: Passwortverwaltung mit externem Kerberos   Contents
Marko Damaschke 2006-03-25