Next: Benutzerverwaltung
Up: Kerberos im genannten Kontext
Previous: Passwortverwaltung mit externem Kerberos
  Contents
Ungünstigerweise war es im Rahmen der Tests nicht möglich, auf den
Windows Server 2003 Systemen ein gültiges Token für den
OpenAFS-Clienten in der Version 1.4.0 und auch 1.3.8 zu erhalten.
Durch die Analyse des Netzwerkverkehrs war festzustellen, dass die
Clienten ausschließlich versuchten, Kerberos Tickets der Version 4 zu
erlangen, was aus Sicherheitsgründen abgelehnt wird. Dieses Phänomen
wurde auf allen in der Teststellung installierten Windows Server 2003
Instanzen beobachtet. Normalerweise sollte nach dem Scheitern des
Versuchs Kerberos V4-Tickets zu erlangen, auf Kerberos V5 umgeschaltet
und somit der Zugriff gewährt werden. Auf den Windows XP Instanzen der
Teststellung hat dies auch unproblematisch funktioniert, allerdings
war der Umstand auf den Server Systemen nicht nachvollziehbar. Dadurch
war es auch mit Hilfe von Werkzeugen, wie dem "`MIT Kerberos for
Windows"', nicht möglich, ein gültiges Ticket zu erlangen und somit
auf geschützte Bereiche des AFS zuzugreifen.
Da dieses Phänomen bisher nicht beobachtet wurde, wird die Möglichkeit
in Betracht gezogen, dass die Probleme ursächlich im Zusammenhang mit
der Firewallkonstruktion der Teststellung beziehungsweise eventuell
einem bestimmten Update oder einer bei der Installation gemachten
Einstellung stehen.
Wie ein nun schon mehrfach genanntes Nutzerobjekt aussehen könnte
beziehungsweise welche Attribute für ein solches Objekt interessant
wären, soll im folgenden Abschnitt besprochen werden.
Next: Benutzerverwaltung
Up: Kerberos im genannten Kontext
Previous: Passwortverwaltung mit externem Kerberos
  Contents
Marko Damaschke
2006-03-25