Book description
- Kerberos ist die populärste Software für Single Sign-on+ Einziges deutsches Buch+ Autor führt seit Jahren erfolgreich Kerberos-Workshops durch
Table of contents
- Cover
- Titel
- Impressum
- Über dieses Buch
- Inhaltsverzeichnis
-
Teil I Kerberos
- 1 Kerberos im Überblick
- 2 Grundlagen der Netzwerkauthentisierung mit Kerberos
- 3 Kerberos aus Anwendersicht
-
4 Sicherheit und Kryptografie
- 4.1 Sicherheitsüberlegungen
-
4.2 Kryptografie in der Netzwerksicherheit
- 4.2.1 Vertraulichkeit
- Ver- und Entschlüsselung
- Symmetrische und asymmetrische Verschlüsselung
- Betriebsarten
- 4.2.2 Integrität
- Kryptografische Hashfunktionen
- Message Authentication Codes
- 4.2.3 Authentisierung
- Beispiel: Traditionelle Unix-Authentisierung
- Beispiel: Netzwerkauthentisierung per Klartextpasswort
- Gemeinsame Geheimnisse
- Beispiel: Challenge-Response-Verfahren
- Beispiel: Kerberos-Authentikator
- 4.2.4 Passwörter, Schlüssel und Schlüsselaustausch
- Schlüssellänge
- Vom Passwort zum Schlüssel
- Salting
- Lebensdauer der Schlüssel
- Schlüsselaustausch im asymmetrischen Fall
- Schlüsselaustausch im symmetrischen Fall
- 4.2.5 Zusammenfassung
-
5 Wie funktioniert Kerberos v5?
- 5.1 Das Funktionsprinzip im Überblick
-
5.2 Das Funktionsprinzip im Detail
- 5.2.1 Die KDC-Datenbank
- 5.2.2 Der Authentication Service (AS)
- Die AS-REQ-Nachricht
- Fehlernachrichten des AS
- Pre-Authentication
- Verwendung von TCP
- Die AS-REP-Nachricht
- 5.2.3 Zugriff auf kerberisierte Dienste
- Die AP-REQ-Nachricht
- Maßnahmen gegen Replay-Angriffe
- Die AP-REP-Nachricht
- 5.2.4 Der Ticket-Granting Service (TGS)
- Der Principal-Name des TGS
- Die TGS-REQ-Nachricht
- Die TGS-REP-Nachricht
- 5.3 Zusammenfassung
-
6 Kerberos für Fortgeschrittene
- 6.1 KDC-Optionen
- 6.2 Ticket Flags
- 6.3 AP-Optionen
- 6.4 Tickets automatisiert erneuern
- 6.5 Tickets für die Zukunft
- 6.6 Delegation zum Ersten
- 6.7 Authentisierung zwischen Realms
- 6.8 Namenskanonisierung und Referrals
- 6.9 Kerberos und Autorisierungsdaten
- 6.10 User-to-User-Authentisierung
- 6.11 Delegation zum Zweiten
- 6.12 Initiale Authentisierung mit Zertifikaten
-
Teil II Zentrale Infrastrukturen
- 7 Grundlegende Infrastruktur
- 8 Das Key Distribution Center von MIT Kerberos
- 9 Die Administration von MIT Kerberos
- 10 Die Clientkommandos von MIT Kerberos
-
11 Die Konfiguration der MIT Libraries
-
11.1 Die Datei krb5.conf
- 11.1.1 Die Struktur der krb5.conf
- 11.1.2 Konfigurationsabschnitte
- 11.1.3 Parameter im Abschnitt [libdefaults]
- 11.1.4 Parameter im Abschnitt [realms]
- 11.1.5 Parameter im Abschnitt [domain_realm]
- 11.1.6 Parameter im Abschnitt [appdefaults]
- 11.1.7 Parameter im Abschnitt [logging]
- 11.1.8 Die krb5.conf für den Realm EXAMPLE.COM
- 11.2 Konfiguration über DNS
- 11.3 Konfiguration mit Umgebungsvariablen
-
11.1 Die Datei krb5.conf
- 12 Ausfallsicherheit für MIT Kerberos
- 13 Ein LDAP-Backend für die MIT-Datenbank
- 14 Einen Heimdal Realm einrichten
- 15 Kerberos bei Microsoft Active Directory
-
16 Kerberos für Fortgeschrittene
-
16.1 Verteilte Kerberos-Umgebungen
- 16.1.1 Cross-Realm bei MIT Kerberos
- Konfiguration der Realm-Topologie über [capaths]
- MYDOM.MIT.EXAMPLE.COM → MIT.EXAMPLE.COM
- MIT.EXAMPLE.COM → MYDOM.MIT.EXAMPLE.COM
- Weitere Trusts zwischen MIT Realms
- 16.1.2 Cross-Realm bei Heimdal
- Konfiguration der Realm-Topologie über [capaths]
- MYDOM.H5L.EXAMPLE.COM → H5L.EXAMPLE.COM
- H5L.EXAMPLE.COM → MYDOM.H5L.EXAMPLE.COM
- Weitere Trusts zwischen Heimdal Realms
- 16.1.3 Cross-Realm bei Active Directory
- 16.1.4 Aufbau der Gesamtstruktur
- MIT.EXAMPLE.COM ↔ EXAMPLE.COM
- H5L.EXAMPLE.COM ↔ EXAMPLE.COM
- ADS.EXAMPLE.COM ↔ EXAMPLE.COM
- Feinschliff
- Test der Cross-Realm-Funktionalität
- 16.2 Delegation für Fortgeschrittene
-
16.3 PKINIT
- 16.3.1 Initiale Authentisierung mit Zertifikaten
- 16.3.2 PKINIT im Testnetz
- Ein X.509-Zertifikat für das KDC
- Ein X.509-Zertifikat für den Client
- Das KDC konfigurieren
- Clientkonfiguration und erster Test
- 16.3.3 Kerberos, PKINIT und Smartcards
- Karten und Lesegeräte
- Die Karte einrichten
- Den privaten Schlüssel erzeugen
- Das Zertifikat erzeugen
- Die Karte mit kinit testen
-
16.1 Verteilte Kerberos-Umgebungen
-
Teil III Integrierte Umgebungen
-
17 Grundlagen
-
17.1 Principals und Keytabs verwalten
- 17.1.1 Client Principals anlegen
- MIT Kerberos
- Heimdal
- Active Directory
- 17.1.2 Funktionalität von Client Principals prüfen
- 17.1.3 Dienste-Principals anlegen
- MIT Kerberos
- Heimdal
- Active Directory
- 17.1.4 Funktionalität von Dienste-Principals prüfen
- 17.1.5 Keytab-Dateien anlegen
- MIT Kerberos
- Heimdal
- Active Directory
- 17.1.6 Funktionalität von Keytab-Dateien prüfen
- 17.2 Zwischenstand
- 17.3 Die nativen Kerberos-Bibliotheken
- 17.4 GSS-API
- 17.5 SPNEGO
- 17.6 SSPI
- 17.7 SASL
- 17.8 Zusammenfassung
-
17.1 Principals und Keytabs verwalten
- 18 LDAP-Infrastruktur
- 19 Client-Anbindung
-
20 Elementare Netzwerkdienste unter Unix und Linux
- 20.1 Traditionelle Remote-Dienste
-
20.2 Moderne Remote-Dienste mit OpenSSH
- 20.2.1 Vorbereitungen
- Software installieren
- Den Dienste-Principal anlegen
- Den Client konfigurieren
- Den Dienst konfigurieren
- 20.2.2 Kerberisierte Secure-Shell-Sitzung
- 20.2.3 Tickets weiterleiten
- 20.2.4 Secure-Shell-Client unter Windows
- Vorbereitungen
- Putty-Sitzung starten
- Mit Putty Tickets weiterleiten
- Andere Windows-Clients
- 20.2.5 OpenSSH ohne Kerberos Tickets
- 20.3 Remote-Dienste in verteilter Umgebung
-
21 Kerberisierte Dateisysteme
-
21.1 CIFS
- 21.1.1 CIFS-Service unter Windows einrichten
- 21.1.2 Authentisierung bei CIFS
- 21.1.3 CIFS-Client unter Linux
- 21.1.4 CIFS-Service unter Linux: Samba
- Kerberisierung von Samba
- Konfiguration
- Die CIFS-Freigabe testen
- 21.1.5 ID Mapping
- Windows-SIDs und Unix-IDs zuordnen
- Konfiguration und Test
- Dateisystem-ACLs
- 21.1.6 Heimatverzeichnisse für alle Windows-Nutzer
-
21.2 NFS
- 21.2.1 Überblick
- 21.2.2 NFSv3 ohne Kerberos
- 21.2.3 NFSv3 und Sicherheit
- 21.2.4 NFSv4
- 21.2.5 Kerberisierter NFSv4-Service unter Linux
- NFS-Server-Daemons
- Die Datei /etc/idmapd.conf
- Die Datei /etc/exports
- Weitere Konfigurationsdateien bei Ubuntu
- 21.2.6 Den Server einrichten
- 21.2.7 Kerberisierter NFSv4-Client unter Linux
- NFS-Client-Daemons
- Konfigurationsdateien
- 21.2.8 Den Client einrichten
- 21.2.9 NFSv4 und Sicherheit
- 21.2.10 NFSv4 in Cross-Realm-Umgebung
- 21.2.11 Abschlussarbeiten
-
21.1 CIFS
- 22 Single Sign-on für den Apache-Webserver
-
17 Grundlagen
- Teil IV Anhang
- Fußnoten
Product information
- Title: Kerberos
- Author(s):
- Release date: September 2012
- Publisher(s): dpunkt
- ISBN: 97833898644440
You might also like
book
Kerberos, 2nd Edition
Wer als Administrator eine heterogene Netzwerkumgebung mit einheitlicher Benutzerverwaltung betreiben soll, kommt an Netzwerkdiensten wie LDAP …
book
Hands-On Linux Administration on Azure
Learn to efficiently run Linux-based workloads in Azure Key Features Manage and deploy virtual machines in …
book
Mastering Ceph
Deep dive into the unified, distributed storage system in order to provide excellent performance About This …
book
Cloud Native DevOps mit Kubernetes
Cloud-Experten John Arundel und Justin Domingus zeigen Ihnen in diesem pragmatischen Buch, was Kubernetes kann, welche …