GLT12 - 2.8
Grazer Linuxtage 2012
| Vortragende | |
|---|---|
|
Sebastian "tokkee" Harl |
| Programm | |
|---|---|
| Tag | Grazer Linuxtage 2012 - 2012-04-28 |
| Raum | HS3 |
| Beginn | 12:00 |
| Dauer | 00:45 |
| Info | |
| ID | 119 |
| Veranstaltungstyp | Vortrag |
| Track | Administrator |
| Sprache der Veranstaltung | deutsch |
| Feedback | |
|---|---|
|
Haben Sie diese Veranstaltung besucht? Feedback abgeben |
Kerberos und Single Sign-On für Linux
One account to rule them all
Kerberos ist ein verteilter Authentifizierungsdienst. Die Authentifizierung basiert auf Tickets, die von einer vertrauenswürdigen dritten Partei ausgestellt werden. Durch ein langlebiges Ticket auf Client-Seite kann eine einmal durchgeführte Authentifizierung über einen gewissen Zeitraum für unterschiedliche Dienste verwendet werden (Single Sign-On). Dieser Vortrag stellt Kerberos im Detail vor und erläutert, wie darauf aufbauend Single Sign-On Funktionalität für verschiedene Dienste umgesetzt werden kann.
Kerberos ist ein Netzwerkprotokoll, welches Authentifizierung erlaubt. Es wurde für offene und unsichere Netzwerke, wie das Internet, entworfen und basiert auf dem Needham-Schroeder-Protokoll. Neben Kerberos Server Umsetzungen für Linux wird das Protokoll beispielsweise auch von Microsofts Active Directory verwendet.
Die Authentifizierung wird durch eine vertrauenswürde dritte Partei (trusted third party) übernommen. Sie basiert auf Tickets, die nach erfolgreicher Anmeldung des Benutzers am Kerberos-Server von diesem ausgestellt wird. Initial wird dabei ein langlebiges sogenanntes Ticket-Granting-Ticket ausgestellt, mit dem der Client weitere Tickets zur Authentifizierung an weiteren Diensten anfordern kann. Dies kann ohne weitere Interaktion mit dem Benutzer passieren. Damit lässt sich entsprechend eine Single Sign-On Funktionalität umsetzen, solange die eingebundenen Dienste Kerberos-Authentifizierung unterstützen.
Dieser Vortrag stellt Kerberos im Detail vor und erläutert, wie damit eine Single Sign-On Funktionalität umgesetzt werden kann. Dazu wird erläutert, wie Standard-Software wie SSH, (Firefox-)Webbrowser und (Apache-)Webserver dafür konfiguriert werden können.