Single sign-on Kerberos mit LDAP

Vorkenntnisse:

Gute Kenntnisse in der Netzwerkadministration und der Systemadministration. Wichtig sind LDAP-Kenntnisse wie sie unser Kurs "LDAP-Server" vermittelt.

Kursinhalt:

Oft werden in Netzwerken den Anwendern verschiedenste Dienste bereitgestellt an denen sie sich authentifizieren müssen. Jedes Mal wenn der Mitarbeiter auf einen Dienst zugreift, wird er erneut nach dem Benutzernamen und Passwort gefragt. Damit Sie dieses umgehen können gibt es Kerberos, der zusammen mit LDAP eine zentrale Benutzerverwaltung mit Single Sign-on realisieren kann. Viele Dienste, die Sie in Ihrem Netzwerk einsetzen, unterstützen bereits die Authentifizierung über Kerberos. Dieser Kurs, der mehr als Workshop konzipiert ist, zeigt Ihnen, wie Sie mit LDAP und Kerberos eine zentrale Benutzerverwaltung mit Single Sign-on realisieren und weitere Dienste in diese Umgebung einbinden können.

• Den Anfang machen die Grundlagen zu Kerberos, um ein Verständnis für die Arbeitsweise von Kerberos zu erhalten.
• Der erste Schritt ist immer die Einrichtung eines ersten Kerberos-Servers ohne den Einsatz von LDAP, um die grundlegenden Techniken einrichten und anwenden zu können.
• Verwalten der verschiedenen Principals
• Erstellung von keytab-Dateien
• Konfiguration eines Kerberos-Clients
• Replikation auf einen zweiten Kerberos-Server
• SRV-Einträge im DNS zur Bekanntmachung der Kerberos-Server
• OpenLDAP und Kerberos. Wie können die Kerberos-Datenbanken im OpenLDAP verwaltet werden?
• Umstellung der Kerberos-Server auf die Datenbanken im OpenLDAP
• Authentifizierung am LDAP-Server über GSSAPI
• Clientauthentifizierung über sssd zusammen mit Kerberos
• Einrichtung der LDAP-Replikation unter Verwendung von Kerberos und "k5start"

Ziel:

Sie sind in der Lage, einen Kerberos-Server einzurichten und zur Ausfallsicherheit zu replizieren und zusammen mit LDAP und DNS eine Single Sign-on Umgebung aufzubauen. Sie können verschiedene Dienste so einrichten, dass sie sich gegen Kerberos authentifizieren. Auch sind Sie am Ende des Kurses in der Lage, Clients so zu konfigurieren, dass Kerberos für die Authentifizierung genutzt wird. Bei der Replikation des OpenLDAP können Sie komplett auf ein "simple bind" verzichten und haben somit keine Klartextpasswörter mehr in der Konfiguration des OpenLDAP.