Kerberos Credential Cache Manager

Der passende Schlüssel

Kerberos-Tickets liegen lokal in einem Cache, damit sie für einen bestimmten Zeitraum nicht immer wieder erneut angefragt werden müssen. Für diesen Cache existieren unterschiedliche Formate. Mit dem Kerberos Credential Cache Manager kümmert sich nun erstmals ein eigener Dienst um die Verwaltung der Kerberos-Caches.
Die Datenmengen in Unternehmen wachsen täglich. Für Administratoren bedeutet dies, den zur Verfügung stehenden Speicherplatz permanent anzupassen und ... (mehr)

Um ein Kerberos-Ticket von einem Key-Distribution-Center (KDC) zu beziehen, existieren unterschiedliche Methoden. Um bei der Anmeldung ein Ticket anzufragen, ist der PAM-Stack um eine entsprechende PAM-Bibliothek zu erweitern, die dann für die Kommunikation mit dem KDC verantwortlich ist. Bekannte Vertreter sind beispielsweise pam_krb5 oder pam_sss. Letztere kommt zum Einsatz, sollte der Security Services Daemon (SSSD) als Identity-Management-Client verwendet werden. Mit Hilfe von libsss_ krb5 kann dieser dann im Backend mit einem Kerberos-Server kommunizieren.

Cache für Kerberos-Tickets

Unabhängig von PAM lassen sich Kerberos-Tickets auch über eine Client-Anwendung abrufen. Hierfür dient unter Linux üblicherweise "kinit". Die Konfiguration findet dabei über die Datei "/etc/krb5.conf" statt. In dieser Datei lassen sich nun eine Vielzahl an Konfigurationseinstellungen vornehmen. Unter anderem auch, in welchem Cache das Kerberos-Ticket landen soll, nachdem es vom KDC an den Client übertragen wurde. Der Cache, auch als Credential Cache (ccache) bezeichnet, enthält dabei neben dem initialen Ticket (Ticket Granting Ticket) auch Tickets für den Zugang zu einzelnen Diensten (Service Tickets).

Der Cache enthält Informationen über die Tickets und Kerberos-Principals, die mit den Tickets in Zusammenhang stehen. So lässt sich beispielsweise erkennen, von wann bis wann die Tickets gültig sind und für welchen Kerberos-Principal sie ausgestellt wurden. Weitere Flags verraten etwa, ob ein im Cache befindliches Ticket erneuert (renewable) werden darf oder ein komplett neues Ticket angefordert werden muss, wenn das bestehende Ticket seine Gültigkeit verliert.

Mit der Zeit wurden noch weitere Cache-Typen entwickelt, die alle ihre Vor- und Nachteile besitzen. Die folgende Übersicht zeigt auf, welche Cache-Typen welche Eigenschaften haben und warum, trotz der bereits

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2018

Microsite