Kerberos Credential Cache Manager

Der passende Schlüssel

von Thorsten Scherf

Kerberos-Tickets liegen lokal in einem Cache, damit sie für einen bestimmten Zeitraum nicht immer wieder erneut angefragt werden müssen. Für diesen Cache existieren unterschiedliche Formate. Mit dem Kerberos Credential Cache Manager kümmert sich nun erstmals ein eigener Dienst um die Verwaltung der Kerberos-Caches.

Aus IT-Administrator 11/2017

Die Datenmengen in Unternehmen wachsen täglich. Für Administratoren bedeutet dies, den zur Verfügung stehenden Speicherplatz permanent anzupassen und ... (mehr)

Um ein Kerberos-Ticket von einem Key-Distribution-Center (KDC) zu beziehen, existieren unterschiedliche Methoden. Um bei der Anmeldung ein Ticket anzufragen, ist der PAM-Stack um eine entsprechende PAM-Bibliothek zu erweitern, die dann für die Kommunikation mit dem KDC verantwortlich ist. Bekannte Vertreter sind beispielsweise pam_krb5 oder pam_sss. Letztere kommt zum Einsatz, sollte der Security Services Daemon (SSSD) als Identity-Management-Client verwendet werden. Mit Hilfe von libsss_ krb5 kann dieser dann im Backend mit einem Kerberos-Server kommunizieren.

Cache für Kerberos-Tickets

Unabhängig von PAM lassen sich Kerberos-Tickets auch über eine Client-Anwendung abrufen. Hierfür dient unter Linux üblicherweise "kinit". Die Konfiguration findet dabei über die Datei "/etc/krb5.conf" statt. In dieser Datei lassen sich nun eine Vielzahl an Konfigurationseinstellungen vornehmen. Unter anderem auch, in welchem Cache das Kerberos-Ticket landen soll, nachdem es vom KDC an den Client übertragen wurde. Der Cache, auch als Credential Cache (ccache) bezeichnet, enthält dabei neben dem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.