next up previous contents
Next: Anmerkung zu OpenAFS & Up: Kerberos im genannten Kontext Previous: Heimdal- versus MIT-Kerberos   Contents

Passwortverwaltung mit externem Kerberos

Ein interessanter Aspekt, der sich im Kontext der Versuche herausstellte, war die Möglichkeit den Windows-Passwort-Änderungsmechanismus auch auf das externe Kerberossystem wirken zu lassen. Durch die Anmeldung des Nutzers am externen Kerberos-Realm und der damit verbundenen Vermittlung aller Kerberos-Anfragen primär an den KDC des externen Kerberos, wird auch eine Änderung des Passwortes durch den Nutzer an diesen KDC signalisiert, der die Änderungen entgegen nimmt und verarbeitet. Sowohl im Falle von Heimdal als auch von MIT-Kerberos führte ein solcher Versuch zu einem erfolgreichen Ändern des Prinzipalschlüssels in der Prinzipal-Datenbank, wodurch in der Folge auch das heimdal- beziehungsweise MIT-basierte $kinit$ nur noch mit dem neuen Passwort erfolgreich verarbeitet wurde.
Vorteilhafterweise werden die Qualitätskontrollen des Windows-Systems, welche in einer Sicherheitsrichtlinie festgelegt werden, bei diesem Änderungsvorgang wirksam, so dass das Passwort bei Änderung über das Windows in der Standardkonfiguration komplexer sein muss, als beim Heimdal selbst.

Marko Damaschke 2006-03-25