Welcher Kerberos-Geschmack?

11

Also richte ich ein kleines Netzwerk mit allen Standardmaterialien (Dateien, E-Mails usw.) ein und habe mich für eine Kerberos + LDAP-Lösung entschieden. Irgendwelche Ideen oder Empfehlungen zu Heimdal vs. MIT?

Ich habe MIT schon einmal und tangential Heimdal verwendet, aber ich kenne keinen wirklichen Grund, warum ich eins über das andere verwenden soll. Ich weiß nur, dass ich es vorziehen würde, nicht zu realisieren, dass ich lieber MIT ausführen möchte, nachdem ich das gesamte Heimdal mit einer vollständigen Benutzerdatenbank eingerichtet habe.

Wenn andere Informationen nützlich wären, stehe ich Ihnen gerne zur Verfügung.

Michael Lowman
quelle
Süß-saurer Kerberos.
Tom O'Connor

Antworten:

2

Heimdal ist / wird in Samba 4 in seine Active Directory-Implementierung integriert.

Hubert Kario
quelle
Könnten Sie die genaue Quelle angeben?
Plluksie
1
Soweit ich das zufällige Googeln beurteilen kann, hat Samba4 derzeit heimdal in den Quellbaum integriert . Es sieht so aus, als ob es eine Anstrengung gibt , es kompatibel zu machen , und wie weit das ist. Trotzdem sieht es so aus, als wären Heimdal und LDAP hier, um zu bleiben. Vielen Dank!
Michael Lowman
4

MIT Kerberos wird gut unterstützt. Es ist die Referenzimplementierung und Standard auf RedHat und ich glaube auch Debian. OTOH, Heimdal hatte etwas schönere Verwaltungstools IIRC, aber ich habe mich für MIT entschieden.

ptman
quelle
3

Ich würde eher antworten, "je nachdem, welche von Ihrer Distribution bereitgestellt wird", es sei denn, Sie benötigen bestimmte Funktionen, die nur in der einen oder anderen verfügbar sind. Mit Heimdal können Sie beispielsweise ein LDAP-Verzeichnis als Schlüsselspeicher verwenden, was in einer größeren Organisation attraktiv sein kann (da Sie Kerberos-Anmeldeinformationen und andere Benutzerinformationen an derselben Stelle speichern können).

Larsks
quelle
Nun, meine Distribution ist Gentoo. Das ist also beides :) und MIT können dasselbe tun, aber ich plane trotzdem, lokale Datenbankdateien zu verwenden
Michael Lowman
3

Laut http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kerberos5.html

Kerberos ist sowohl der Name eines Netzwerkauthentifizierungsprotokolls als auch ein Adjektiv zur Beschreibung von Programmen, die das Programm implementieren (z. B. Kerberos-Telnet). Die aktuelle Version des Protokolls ist Version 5, beschrieben in RFC 1510.

Es stehen mehrere kostenlose Implementierungen dieses Protokolls zur Verfügung, die eine breite Palette von Betriebssystemen abdecken. Das Massachusetts Institute of Technology (MIT), an dem Kerberos ursprünglich entwickelt wurde, entwickelt sein Kerberos-Paket weiter. In den USA wird es häufig als Kryptografieprodukt verwendet, da es in der Vergangenheit von den US-Exportbestimmungen betroffen war. Das MIT Kerberos ist als Port verfügbar (security / krb5). Heimdal Kerberos ist eine weitere Version 5-Implementierung und wurde explizit außerhalb der USA entwickelt, um Exportbestimmungen zu vermeiden (und ist daher häufig in nichtkommerziellen UNIX®-Varianten enthalten). Die Heimdal Kerberos-Distribution ist als Port (security / heimdal) verfügbar, und eine minimale Installation davon ist in der Basis-FreeBSD-Installation enthalten.

Um ein möglichst breites Publikum zu erreichen, wird in diesen Anweisungen die Verwendung der in FreeBSD enthaltenen Heimdal-Distribution vorausgesetzt.

Es ist also auch eine Gesetzesangelegenheit ...

plluksie
quelle
Nun ... Ich lebe nicht im Iran, in Nordkorea oder in einem anderen Land, das als terroristischer Staat gilt und daher den Exportkontrollbestimmungen unterliegt. Abgesehen von dieser Einschränkung gab es seit 1996 keine derartigen Exportkontrollbeschränkungen für starke Kryptografie mehr . Vielleicht wäre meine Frage besser formuliert: "Ist der einzige Grund, Heimdal oder Kerberos zu verwenden, um ein Legacy-System zu unterstützen, als nur Heimdal legal war?"
Michael Lowman
0

Heimdal ist die Implementierung von Kerberos5, die FreeBSD verwendet. Es und die MIT-Implementierung sind auch in der Ports-Sammlung verfügbar.

Utkonos
quelle