computerwoche.de

Archiv

Windows 2000: Interoperabilitätsprobleme mit Kerberos

Microsoft reagiert auf Beschwerden von Anwendern

22.03.2002
FRAMINGHAM (IDG) - Nach drei Jahren im Kreuzfeuer der Kritik hat Microsoft eine lizenzfreie Version seines Datenformats für die Autorisierung in Windows 2000 veröffentlicht. Einigen Experten zufolge geht die Initiative aber noch nicht weit genug.

Anwender und Experten hatten sich ursprünglich darüber beschwert, dass Microsoft mit seinem Datenformat für die Autorisierung eine Art Windows-eigenen Kerberos geschaffen habe, der nicht vollständig mit Unix-basierten Kerberos-Servern kompatibel ist. Als Ausweg blieb bisher nur, wirklich Microsofts Kerberos-Server zu nutzen. "Microsoft hat unsere Forderungen und Wünsche nicht erfüllt", kommentiert Jeff Schiller, Security Area Director für die Internet Engineering Task Force (IETF). "Wir wollen auch ein Key Distribution Center (KDC) auf einer Nicht-Microsoft-Plattform laufen lassen können." Ein KDC ist ein zentraler Punkt für die Authentisierung von Benutzern und die authorisierte Verwendung von Ressourcen.

Inzwischen hat Microsoft die Privilege-Access-Certificate-(PAC-) Spezifikation, in der das Datenformat für die Autorisierung festgelegt ist, lizenzfrei zur Verfügung gestellt. "Wir veröffentlichen einen Request for Comment (RFC) mit rein informierendem Charakter in der IETF", gibt Adam Sohn, Produkt-Manager für die .NET-Plattform-Strategie, bekannt. Aber dieser enthält nicht die komplette PAC, angeblich um einen Nachbau unmöglich zu machen. Microsoft will keinesfalls eine Anleitung zum Klonen seiner KDC bieten. Schiller von der IETF kritisiert, zu viele Felder der PAC seien als "reserved" gekennzeichnet, so dass Anwender nicht erkennen können, was wirklich passiert.

Die Absichten von Microsoft bei dieser partiellen Öffnung sind nicht ganz uneigennützig: Es arbeitet derzeit an einem Zusammenschluss von Diensten für das Management von Identitäten. In einem verteilten Netz soll ein "Bund des Vertrauens" zwischen verschiedenen Authentisierungsdiensten etabliert werden. Wie Microsoft bereits im September bekannt gab, benutzt das Identitäts-Management-System "Passport" Kerberos, um ein Netz aus vertrauenswürdigen Authentisierungsdiensten zu schaffen. "In einer Welt, in der Netze zusammenwachsen, ist die Öffnung der PAC ein erster Schritt hin zu mehr gegenseitigem Vertrauen", stellt Sohn fest. (sra)

KerberosBei Kerberos handelt es sich um ein Authentisierungssystem, das am Massachusetts Institute of Technology (MIT) entwickelt wurde. Es soll zwei Parteien in die Lage versetzen, über ein ansonsten offenes Netz private Informationen auszutauschen. Jedem Anwender, der sich im Netz anmeldet, ordnet es einen eindeutigen Schlüssel - ein so genanntes Ticket - zu. Das Ticket wird dann in jede Nachricht eingebettet, um den Sender zu identifizieren.