Kerberos wird direkt von Active Directory unterstützt und bei jeder Windows-Anmeldung in einer entsprechenden Domain verwendet. Der Standard-Vorgang und einige Besonderheiten können zwar hier erwähnt werden, im Zweifelsfall entnehmen Sie aber bitte die notwendigen Informationen der Dokumentation von Microsoft.

Unter Linux ist der Einsatz von Kerberos bei größeren Installationen weit verbreitet und in den meisten Distributionen enthalten. Die dazu notwendige Konfiguration entnehmen Sie bitte der Dokumentation Ihrer Distribution.

In Mac OS X Server ist OpenDirectory enthalten, das standardmäßig auch Kerberos unterstützt. Ein Mac OS X Client kann aber auch in eine Active Directory-Domain eingebunden werden oder einen anderen Kerberos-Server verwenden. Die dann notwendige Konfiguration entnehmen Sie bitte der Dokumentation von Mac OS X bzw. Mac OS X Server.

Der Anmeldevorgang (Hintergrund-Info)

Unter Windows erfolgt ein großer Teil der sonst üblichen Kerberos-Kommunikation direkt vom Betriebssystem. Hintergrund ist der fehlende direkte Zugriff auf das sogenannte Ticket Granting Ticket (TGT). Der Client bekommt vom lokalen Betriebssystem direkt das Serviceticket und sendet es an den Jet-Server.

In der Folge ist der Ablauf beschrieben, wie er mit direkten Zugriff auf das TGT wäre.

Wenn man sich an seinem Arbeitsplatz anmeldet, dann schickt der Kerberos-Server (das sogenannte Key Distribution Center (KDC); bspw. der Domain Controller) ein Ticket Granting Ticket an den Client, das er mit dem Passwort des Benutzers verschlüsselt hat. Da nur der richtige Benutzer das korrekte Passwort eingegeben haben kann, kann auch nur dieser dieses TGT entschlüsseln und in einem lokalen Speicher ablegen, dem Ticket Cache. Dieses TGT enthält vor allem einen Session-Key; es ist an den Rechner gebunden und hat eine begrenzte Lebensdauer, in der Regel von 10 Stunden.

Sobald man sich bei einem JET-Server anmelden möchte, bittet der Client den Kerberos-Server (in diesem Fall spricht man vom Ticket Granting Service (TGS)) nach einem Ticket für genau diesen Server. Als Beweis dafür, dass der Client wirklich der ist, für den er sich ausgibt, verschlüsselt er es mit dem Session-Key aus dem TGT. Der Kerberos-Server erzeugt daraufhin das Service-Ticket, das er mit dem Passwort des JET-Servers verschlüsselt. Dieses Ticket ergänzt er dann um Verwaltungsinformationen, verschlüsselt es ein zweites Mal mit dem Session-Key und schickt es an den Client. Nur dieser kann die Verwaltungsinformationen entschlüsseln und schickt das Service-Ticket an den JET-Server weiter, der es dann schließlich mit seinem Passwort entschlüsselt, das er in einer Keytab-Datei hinterlegt hat. So kann er sich sicher sein, dass das Ticket von genau dem Kerberos-Server stammt, dem er vertraut, und dieser sich sicher ist, dass der Client tatsächlich derjenige ist, der im Ticket angegeben ist.

Der JET-Anmeldedialog

Um sich mit einem anderen Benutzernamen anmelden zu können, zeigt der JET-Anmeldedialog denjenigen Benutzernamen der für die Anmeldung im Betriebssystem verwendet wurde.

Unter nicht Windows Betriebssystemen, wie bspw. Linux, wird dabei auch auf das TGT für den aktuellen Betriebssystem Benutzer im lokalen System zugegriffen.

Das Passwortfeld wird, bei erkannter Kerberos-Konfiguration, mit einer Dummy-Zeichenkette vorab gefüllt.

Sie können dann bspw. ein oxaion-Profil oder eine Firma eingeben und sich ohne Eingabe des Kennwortes anmelden.

Wenn Sie ohnehin nur mit einem Profil und in einer Firma arbeiten, können Sie den ganzen Anmeldedialog automatisch überspringen, indem Sie als Startoption autostart=true setzen.