Next: Windows mit externem Kerberos
Up: Kerberos im genannten Kontext
Previous: Kerberos im genannten Kontext
  Contents
Hinsichtlich der Verschlüsselungen, die der Windows Domaincontroller
akzeptiert, wurde bereits erwähnt, dass nur RC4- und DES-Schlüssel mit
MD5- und CRC-Hash verarbeitet werden können. Heimdals
RC4
-Implementierung ist
allerdings nicht mit Windows kompatibel, der Domaincontroller ist nicht
befähigt, ein derart verschlüsseltes Service Ticket zu validieren.
Somit kommen für die Kooperation von Heimdal und Windows nur
DES-Schlüssel in Frage.
Dabei ist darauf zu achten, dass nicht nur die Kommunikation in DES
verschlüsselt wird, was unkompliziert ist, da DES die
Standardverschlüsselung von Heimdal ist und von Windows-Clienten auch
angefordert werden. Auch die Tickets müssen mit DES-Verschlüsselung
ausgeliefert werden, was durch die Löschung der entsprechenden Typen
aus der Principal-Datenbank oder durch Setzen des bevorzugten
Standardschlüsseltypen in der
erreicht werden kann.
Erkennbar wird dieses Problem durch einen entsprechenden Fehler in der
Kerberos-Kommunikation. Schwieriger ist der Fehler zu erkennen, wenn
die Kommunikation zur Erlangung des Tickets korrekt verläuft, das
erworbene Ticket allerdings nicht auswertbar ist und der Client dann mit
einem PRINCIPAL-UNKNOWN-Error reagiert. Dies ist im Laufe der Tests
mit einem MIT-KDC geschehen, der standardmäßig eine
3DES-Verschlüsselung verwendet und erst durch explizites Deaktivieren
und Löschung der entsprechenden Principal-Einträge zu einer
DES-Kommunikation gebracht werden konnte. Die Kommunikation zur
Erlangung des TGTs funktionierte und das TGT war auch akzeptabel,
allerdings das für den Cross-Realm-Trust ausgegebene TGT für die
Windows-Domain wurde mit AES verschlüsselt, was dann am
Domaincontroller scheiterte.
Next: Windows mit externem Kerberos
Up: Kerberos im genannten Kontext
Previous: Kerberos im genannten Kontext
  Contents
Marko Damaschke
2006-03-25