Next: Anmerkung zu OpenAFS &
Up: Kerberos im genannten Kontext
Previous: Heimdal- versus MIT-Kerberos
  Contents
Ein interessanter Aspekt, der sich im Kontext der Versuche
herausstellte, war die Möglichkeit den
Windows-Passwort-Änderungsmechanismus auch auf das externe
Kerberossystem wirken zu lassen. Durch die Anmeldung des Nutzers am
externen Kerberos-Realm und der damit verbundenen Vermittlung aller
Kerberos-Anfragen primär an den KDC des externen Kerberos, wird auch
eine Änderung des Passwortes durch den Nutzer an diesen KDC
signalisiert, der die Änderungen entgegen nimmt und verarbeitet.
Sowohl im Falle von Heimdal als auch von MIT-Kerberos führte ein
solcher Versuch zu einem erfolgreichen Ändern des Prinzipalschlüssels
in der Prinzipal-Datenbank, wodurch in der Folge auch das
heimdal- beziehungsweise MIT-basierte
nur noch mit dem neuen
Passwort erfolgreich verarbeitet wurde.
Vorteilhafterweise werden die Qualitätskontrollen des Windows-Systems,
welche in einer Sicherheitsrichtlinie festgelegt werden, bei diesem
Änderungsvorgang wirksam, so dass das Passwort bei Änderung über das
Windows in der Standardkonfiguration komplexer sein muss, als beim
Heimdal selbst.
Marko Damaschke
2006-03-25