next up previous contents
Next: Windows mit externem Kerberos Up: Kerberos im genannten Kontext Previous: Kerberos im genannten Kontext   Contents

Windows und SchlÃ14sseltypen

Hinsichtlich der Verschlüsselungen, die der Windows Domaincontroller akzeptiert, wurde bereits erwähnt, dass nur RC4- und DES-Schlüssel mit MD5- und CRC-Hash verarbeitet werden können. Heimdals RC4[*]-Implementierung ist allerdings nicht mit Windows kompatibel, der Domaincontroller ist nicht befähigt, ein derart verschlüsseltes Service Ticket zu validieren. Somit kommen für die Kooperation von Heimdal und Windows nur DES-Schlüssel in Frage. Dabei ist darauf zu achten, dass nicht nur die Kommunikation in DES verschlüsselt wird, was unkompliziert ist, da DES die Standardverschlüsselung von Heimdal ist und von Windows-Clienten auch angefordert werden. Auch die Tickets müssen mit DES-Verschlüsselung ausgeliefert werden, was durch die Löschung der entsprechenden Typen aus der Principal-Datenbank oder durch Setzen des bevorzugten Standardschlüsseltypen in der $krb5.conf$ erreicht werden kann. Erkennbar wird dieses Problem durch einen entsprechenden Fehler in der Kerberos-Kommunikation. Schwieriger ist der Fehler zu erkennen, wenn die Kommunikation zur Erlangung des Tickets korrekt verläuft, das erworbene Ticket allerdings nicht auswertbar ist und der Client dann mit einem PRINCIPAL-UNKNOWN-Error reagiert. Dies ist im Laufe der Tests mit einem MIT-KDC geschehen, der standardmäßig eine 3DES-Verschlüsselung verwendet und erst durch explizites Deaktivieren und Löschung der entsprechenden Principal-Einträge zu einer DES-Kommunikation gebracht werden konnte. Die Kommunikation zur Erlangung des TGTs funktionierte und das TGT war auch akzeptabel, allerdings das für den Cross-Realm-Trust ausgegebene TGT für die Windows-Domain wurde mit AES verschlüsselt, was dann am Domaincontroller scheiterte.

next up previous contents
Next: Windows mit externem Kerberos Up: Kerberos im genannten Kontext Previous: Kerberos im genannten Kontext   Contents
Marko Damaschke 2006-03-25