Kerberos Credential Cache Manager

Um ein Kerberos-Ticket von einem Key-Distribution-Center (KDC) zu beziehen, existieren unterschiedliche Methoden. Um bei der Anmeldung ein Ticket anzufragen, ist der PAM-Stack um eine entsprechende PAM-Bibliothek zu erweitern, die dann für die Kommunikation mit dem KDC verantwortlich ist. Bekannte Vertreter sind beispielsweise pam_krb5 oder pam_sss. Letztere kommt zum Einsatz, sollte der Security Services Daemon (SSSD) als Identity-Management-Client verwendet werden. Mit Hilfe von libsss_ krb5 kann dieser dann im Backend mit einem Kerberos-Server kommunizieren.

Cache für Kerberos-Tickets

Unabhängig von PAM lassen sich Kerberos-Tickets auch über eine Client-Anwendung abrufen. Hierfür dient unter Linux üblicherweise "kinit". Die Konfiguration findet dabei über die Datei "/etc/krb5.conf" statt. In dieser Datei lassen sich nun eine Vielzahl an Konfigurationseinstellungen vornehmen. Unter anderem auch, in welchem Cache das Kerberos-Ticket landen soll, nachdem es vom KDC an den Client übertragen wurde. Der Cache, auch als Credential Cache (ccache) bezeichnet, enthält dabei neben dem initialen Ticket (Ticket Granting Ticket) auch Tickets für den Zugang zu einzelnen Diensten (Service Tickets).

Der Cache enthält Informationen über die Tickets und Kerberos-Principals, die mit den Tickets in Zusammenhang stehen. So lässt sich beispielsweise erkennen, von wann bis wann die Tickets gültig sind und für welchen Kerberos-Principal sie ausgestellt wurden. Weitere Flags verraten etwa, ob ein im Cache befindliches Ticket erneuert (renewable) werden darf oder ein komplett neues Ticket angefordert werden muss, wenn das bestehende Ticket seine Gültigkeit verliert.

Mit der Zeit wurden noch weitere Cache-Typen entwickelt, die alle ihre Vor- und Nachteile besitzen. Die folgende Übersicht zeigt auf, welche Cache-Typen welche Eigenschaften haben und warum, trotz der bereits

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.