Seit September 2005 bekommen alle Nutzer, die vom Hochschulrechenzentrum angelegt werden einen Kerberos Account. Ziel dieser Maßname ist es, die Sicherheit im Netzwerk zu erhöhen, die nicht mehr den aktuellen Sicherheitsstandards entsprechende Nutzerverwaltung mit NIS abzulösen und eine einheitliche Nutzerauthentifizierung hochschulweit zu ermöglichen.

Beschreibung des Kerberos Service

Da die meisten Dienste zur Authentifizierung lediglich den Usernamen und das Passwort benötigen, wurde entschieden, zur Authentifizierung Kerberos einzusetzen.
Kerberos bietet prinzipiell die Möglichkeit sowohl unter Linux, als auch unter MacOS und Windows zur Authentifizierung herangezogen zu werden. Außerdem kann bei Verwendung kerberisierter Dienste das Verschicken von Passwörtern über das Netzwerk drastisch reduziert werden. Ein weiterer Vorteil ist, dass beim Vorgang des Authentifizierens die Passwörter nicht unverschlüsselt über das Netz gehen.

Der Kerberos-Dienst läuft als Master und auf 2 Slave-Servern. Damit ist eine hohe Ausfallsicherheit gewährleistet. Wartungsarbeiten am Authentifizierungsserver sind damit möglich, da die Slave-Server dann für die Authentifizeirung einspringen. Während der Master-Server nicht zur Verfügung steht ist eine Authentifizierung weiterhin möglich, Passwortänderungen jedoch nicht, eine verschmerzbare Einschränkung.

Da bisher die hochschulweiten Accounts mit NIS verwaltet wurden, stehen für eine Übergangszeit beide Authentifizierungmethoden zur Verfügung. Das hat den Vorteil, dass die Einführung dieses Dienstes sanft anlaufen konnte. Der Nachteil ist, das bei Änderung des Passwortes lediglich im Kerberos geändert wird. Das alte NIS-Passwort wird solange weiter funktonieren, bis dieser Dienst endgültig abgeschaltet ist (Voraussichtlich September 2012, bis dahin sollte es keine Studierenden mit NIS-Account geben.). Es gibt leider keine einfache Möglichkeit, den NIS-Account bei der Passwortänderung zu deaktivieren. Wenn das gewünscht wird, müsste sich der Betreffende bei Herrn Steinertsteinert@hrz.tfh-wildau.de im Haus 13 Raum 150 melden.

Linux-Rechner, die diesen Dienst nutzen wollen benötigen in /etc eine Datei krb5.conf, die folgenermaßen aussehen sollte:

-------schnipp-----

[libdefaults]
 default_realm = TFH-WILDAU.DE
 clockskew = 300

[realms]
 TFH-WILDAU.DE = {
  kdc = kerberos.tfh-wildau.de
  kdc = kerberos1.tfh-wildau.de
  kdc = kerberos2.tfh-wildau.de
  default_domain = tfh-wildau.de
  admin_server = kerberos.tfh-wildau.de
 }

[logging]
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmin.log
 default = FILE:/var/log/krb5lib.log

[domain_realm]
 .tfh-wildau.de = TFH-WILDAU.DE
 tfh-wildau.de = TFH-WILDAU.DE

[appdefaults]
 pam = {
  ticket_lifetime = 8h
  renew_lifetime = 30m
  forwardable = true
  proxiable = false
  retain_after_close = false
  minimum_uid = 9000
  try_first_pass = true
 }

-------Schnapp----

Für Windows - Rechner mit dem Kerberos-Client von MIT ist es ratsam, sich ebenfalls eine krb5.conf anzulegen, da diese bei der Installation des Programms eingelesen werden kann. Sobald Informationen über kerberisierte Programme für Mail, ssh, FTP vorliegen, werden sie an dieser Stelle veröffentlicht.