LinuxTag2007: Kerberos als Unternehmsweites Single-Sign-On

Single-Sign-On wird immer häufiger von Unternehmen gefordert. Die Vorteile liegen klar auf der Hand: Der Arbeitsfluss wird nicht durch ständige Kennworteingaben unterbrochen, der Benutzer muss sich nicht so viele Kennwörter merken und wählt daher erfahrungsgemäß ein komplexeres Kennwort, der Administrationsaufwand sinkt und letztlich steigt auch die Sicherheit, da sensible Daten nur noch auf einem System vorgehalten werden müssen. SSO macht allerdings nur dann Sinn, wenn das verwendete Protokoll auch auf breiter Ebene unterstützt wird.

Hier hat sich in den letzten Jahren das Open Source Protokoll Kerberos immer mehr hervorgetan. Mittlerweile wird es unter anderem auf Linux, MS Windows (ab 2000), Sun Solaris und Mac OS unterstützt. Teilweise gibt es sogar mehrere Implementierungen, die aber alle untereinander kompatibel sind, sodass ein Windows-Client ohne Probleme mit einem Linux-Server kommunizieren kann.

Auch beim Anwendungsprotokoll lässt Kerberos einem freie Wahl, sodass es ohne Probleme mit z.B.: ssh, http, ldap oder auch eigenen Protokollen verwendet werden kann. Zu den Programmen die Kerberos unterstützen zählen unter anderem Firefox, MS Internet Explorer, OpenSSH, OpenLDAP, Apache HTTP-Server, Cyrus und viele mehr. Für die eigene Softwareentwicklung stehen APIs für C, C#, Perl und Java zur Verfügung.

In dieser Session werden zunächst Grundlagen zu SSO und Kerberos auf kompakte Weise vermittelt. Anschließend geht es um die Vorraussetzungen für ein Unternehmsweites SSO und die möglichen Probleme die dabei auftreten können. Um das ganze anschaulicher zu machen werden schließlich noch einige Beispiele aus der Praxis vorgestellt und als Fazit die Vor- und Nachteile von Kerberos sowie die Alternativen dazu vorgestellt.

LinuxTag 2007, 01.06.2007, Berlin

Mehr Informationen