Jnk (Diskussion | Beiträge) K (Textersetzung - „IMT“ durch „ZIM“) |
|||
(10 dazwischenliegende Versionen von 7 Benutzern werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
− | {{ | + | {{article |
− | | os = Any | + | | os = Any |
− | | service = | + | | service = Identitätsmanagement |
− | | targetgroup = Angestellte, Bereiche, Besucher, Gäste, Studierende | + | | targetgroup = Angestellte, Bereiche, Besucher, Gäste, Studierende |
− | | type = Information | + | | type = Information |
− | | disambiguation = | + | | disambiguation = |
}} | }} | ||
− | |||
− | Eine ganze Reihe von Diensten des | + | Eine ganze Reihe von Diensten des ZIM unterstützt ein Single-Sign-On. Das bedeutet, man meldet sich nur ein einziges Mal mit seinem Benutzernamen und seinem Passwort an einem Authentifizierungsdienst an und kann danach auf die unterstützten Dienste zugreifen, ohne sich dafür erneut anmelden zu müssen. |
== Single-Sign-On durch Kerberos == | == Single-Sign-On durch Kerberos == | ||
− | Das | + | Das ZIM setzt an vielen Stellen zur Anmeldung über das Netzwerk das Kerberos-Protokoll ein. Kerberos bietet gegenüber anderen Systemen einige Vorteile: |
− | * Passwörter gehen nicht über das Netz (weder verschlüsselt noch im Klartext) | + | * Passwörter gehen nicht über das Netz (weder verschlüsselt noch im Klartext). |
* Es findet eine bidirektionale Authentifizierung statt, d. h. der Server erkennt den Benutzer, aber auch der Benutzer erkennt den Server. | * Es findet eine bidirektionale Authentifizierung statt, d. h. der Server erkennt den Benutzer, aber auch der Benutzer erkennt den Server. | ||
* Kerberos unterstützt ein Single-Sign-On. Man muss sich also nur einmal anmelden und kann danach weitere Dienste nutzen ohne Passworteingabe. | * Kerberos unterstützt ein Single-Sign-On. Man muss sich also nur einmal anmelden und kann danach weitere Dienste nutzen ohne Passworteingabe. | ||
− | Für die Funktion des Single-Sign-On ist es natürlich nötig, einige Anmeldeinformationen auf dem lokalen Rechner zu speichern. Bei Kerberos wird aber nicht das Passwort selbst gespeichert, sondern nur ein | + | Für die Funktion des Single-Sign-On ist es natürlich nötig, einige Anmeldeinformationen auf dem lokalen Rechner zu speichern. Bei Kerberos wird aber nicht das Passwort selbst gespeichert, sondern nur ein sogenanntes Ticket. Der Vorteil dieser Vorgehensweise ist, dass ein Ticket nur eine begrenzte Lebensdauer hat. Wenn ein Ticket also in die falschen Hände geraten sollte, kann es nur für eine begrenzte Zeit missbraucht werden, danach ist es wertlos. |
− | Im | + | Im ZIM werden folgende Standardzeiten verwendet: |
Ein Ticket ist 10 Stunden gültig. Ohne weiteres Zutun ist es danach wertlos. | Ein Ticket ist 10 Stunden gültig. Ohne weiteres Zutun ist es danach wertlos. | ||
Innerhalb der Gültigkeitszeit kann ein Ticket ohne Passworteingabe erneuert bzw. verlängert werden, die Gültigkeitszeit wird dabei erneut auf 10 Stunden gesetzt. Durch diese Erneuerung kann ein Ticket maximal 7 Tage lang gültig sein. Danach ist definitiv eine erneute Anmeldung mit Passwort nötig. | Innerhalb der Gültigkeitszeit kann ein Ticket ohne Passworteingabe erneuert bzw. verlängert werden, die Gültigkeitszeit wird dabei erneut auf 10 Stunden gesetzt. Durch diese Erneuerung kann ein Ticket maximal 7 Tage lang gültig sein. Danach ist definitiv eine erneute Anmeldung mit Passwort nötig. | ||
− | Die Verlängerung kann natürlich automatisch geschehen. Beim | + | Die Verlängerung kann natürlich automatisch geschehen. Beim Network Identity Manager für Windows z. B. geschieht die Verlängerung standardmäßig automatisch. Für Linux empfiehlt sich das grafische Tool kredentials, das ebenfalls automatisch Tickets verlängert. Für Debian und Ubuntu gibt es dieses Tool auch bereits als Paket. |
Zur Zeit unterstützen folgende Dienste Kerberos und damit Single-Sign-On: | Zur Zeit unterstützen folgende Dienste Kerberos und damit Single-Sign-On: | ||
− | * SSH/SCP (Zugriff auf | + | * SSH/SCP (Zugriff auf nfs-gate.uni-paderborn.de) |
* SMTP (Mailversand über mail.uni-paderborn.de) | * SMTP (Mailversand über mail.uni-paderborn.de) | ||
* IMAP (Mailempfang über mail.uni-paderborn.de) | * IMAP (Mailempfang über mail.uni-paderborn.de) | ||
Zeile 37: | Zeile 36: | ||
* Sieve (Einrichten von Filterregeln auf mail.uni-paderborn.de) | * Sieve (Einrichten von Filterregeln auf mail.uni-paderborn.de) | ||
− | Für die Verwendung des Single-Sign-On mit Kerberos sind je nach | + | Für die Verwendung des Single-Sign-On mit Kerberos sind je nach Betriebssystem unterschiedliche Vorgehensweisen notwendig, bevor die Authentifizierung funktioniert. |
== Funktionierende Konfigurationen und bekannte Probleme == | == Funktionierende Konfigurationen und bekannte Probleme == | ||
− | '''Folgende | + | '''Folgende Betriebssysteme unterstützen Kerberos und Single-Sign-On:''' |
Windows XP, Windows Vista, Windows 7, Windows 8, Mac OS X 10.4 - 10.8 | Windows XP, Windows Vista, Windows 7, Windows 8, Mac OS X 10.4 - 10.8 | ||
− | '''Folgende Anwendungen unterstützen Kerberos und Single Sign-On''' | + | '''Folgende Anwendungen unterstützen Kerberos und Single-Sign-On:''' |
− | Firefox, Chrome | + | Firefox, Chrome |
Aktuelle Version vom 17. Mai 2024, 13:38 Uhr
Allgemeine Informationen
Information | |
---|---|
Informationen | |
Betriebssystem | Alle |
Service | Anmeldedienst |
Interessant für | Angestellte, Bereiche, Besucher, Gäste und Studierende |
HilfeWiki des ZIM der Uni Paderborn |
Eine ganze Reihe von Diensten des ZIM unterstützt ein Single-Sign-On. Das bedeutet, man meldet sich nur ein einziges Mal mit seinem Benutzernamen und seinem Passwort an einem Authentifizierungsdienst an und kann danach auf die unterstützten Dienste zugreifen, ohne sich dafür erneut anmelden zu müssen.
Single-Sign-On durch Kerberos[Bearbeiten | Quelltext bearbeiten]
Das ZIM setzt an vielen Stellen zur Anmeldung über das Netzwerk das Kerberos-Protokoll ein. Kerberos bietet gegenüber anderen Systemen einige Vorteile:
- Passwörter gehen nicht über das Netz (weder verschlüsselt noch im Klartext).
- Es findet eine bidirektionale Authentifizierung statt, d. h. der Server erkennt den Benutzer, aber auch der Benutzer erkennt den Server.
- Kerberos unterstützt ein Single-Sign-On. Man muss sich also nur einmal anmelden und kann danach weitere Dienste nutzen ohne Passworteingabe.
Für die Funktion des Single-Sign-On ist es natürlich nötig, einige Anmeldeinformationen auf dem lokalen Rechner zu speichern. Bei Kerberos wird aber nicht das Passwort selbst gespeichert, sondern nur ein sogenanntes Ticket. Der Vorteil dieser Vorgehensweise ist, dass ein Ticket nur eine begrenzte Lebensdauer hat. Wenn ein Ticket also in die falschen Hände geraten sollte, kann es nur für eine begrenzte Zeit missbraucht werden, danach ist es wertlos.
Im ZIM werden folgende Standardzeiten verwendet:
Ein Ticket ist 10 Stunden gültig. Ohne weiteres Zutun ist es danach wertlos. Innerhalb der Gültigkeitszeit kann ein Ticket ohne Passworteingabe erneuert bzw. verlängert werden, die Gültigkeitszeit wird dabei erneut auf 10 Stunden gesetzt. Durch diese Erneuerung kann ein Ticket maximal 7 Tage lang gültig sein. Danach ist definitiv eine erneute Anmeldung mit Passwort nötig.
Die Verlängerung kann natürlich automatisch geschehen. Beim Network Identity Manager für Windows z. B. geschieht die Verlängerung standardmäßig automatisch. Für Linux empfiehlt sich das grafische Tool kredentials, das ebenfalls automatisch Tickets verlängert. Für Debian und Ubuntu gibt es dieses Tool auch bereits als Paket.
Zur Zeit unterstützen folgende Dienste Kerberos und damit Single-Sign-On:
- SSH/SCP (Zugriff auf nfs-gate.uni-paderborn.de)
- SMTP (Mailversand über mail.uni-paderborn.de)
- IMAP (Mailempfang über mail.uni-paderborn.de)
- POP (Mailempfang über mail.uni-paderborn.de)
- HTTP (Webseiten mit Kerberos-Authentifizierung)
- Sieve (Einrichten von Filterregeln auf mail.uni-paderborn.de)
Für die Verwendung des Single-Sign-On mit Kerberos sind je nach Betriebssystem unterschiedliche Vorgehensweisen notwendig, bevor die Authentifizierung funktioniert.
Funktionierende Konfigurationen und bekannte Probleme[Bearbeiten | Quelltext bearbeiten]
Folgende Betriebssysteme unterstützen Kerberos und Single-Sign-On:
Windows XP, Windows Vista, Windows 7, Windows 8, Mac OS X 10.4 - 10.8
Folgende Anwendungen unterstützen Kerberos und Single-Sign-On:
Firefox, Chrome