Der Abschnitt »19.1 Windows-Clients in Active Directory« beschreibt die Anbindung von Windows-7-Systemen an die Active-Directory-Infrastruktur des Buches. Die Anbindung dieser Systeme an die MIT- oder Heimdal-Infrastrukturen wird dort nicht behandelt, da Windows-Clients neben Kerberos und LDAP noch weitere Infrastrukturkomponenten benötigen, die nur durch Active Directory angeboten werden.
Durch die in Abschnitt 16.1 eingeführten
Cross-Realm-Vertrauensstellungen kann aber zumindest die
Passwortüberprüfung bei der Anmeldung an einem
Windows-System gegen einen nativen Kerberos Realm erfolgen. So kann
man beispielsweise dafür sorgen, das sich
maxm@EXAMPLE.COM an der Maschine
win7.ads.example.com anmelden kann, die ja Mitglied der
AD-Domäne ADS.EXAMPLE.COM ist.
Dazu sind folgende Voraussetzungen zu erfüllen:
maxm@EXAMPLE.COM in dem
Kerberos Realm EXAMPLE.COM einzurichtenexample-maxm (genauer:
example-maxm@ADS.EXAMPLE.COM
bzw. ADS\example-maxm)EXAMPLE.COM. Zumindest muss
es über die KDC-Maschinen dieses Realm Bescheid wissen.Der MIT-Principal maxm@EXAMPLE.COM wurde bereits in Kapitel 9
angelegt. Das AD-Benutzerobjekt example-maxm können Sie
wie in Abschnitt 15.4 beschrieben anlegen. Um dem neuen
AD-Benutzerobjekt den Kerberos-Principal aus dem MIT-Realm zuzuordnen,
gehen Sie wie folgt vor: Wählen Sie im ADUC unter Ansicht
den Punkt Erweiterte Features aus. Danach wählen Sie mit
einem Rechtsklick auf das Benutzerobjekt example-maxm den
Menüpunkt Namenszuordnungen... Im neuen Fenster
Sicherheitsidentitätszuordnung müssen Sie im Reiter
Kerberos-Namen den Principal maxm@EXAMPLE.COM
hinzufügen. Dabei wird das Attribut
altSecurityIdentities auf den Wert
Kerberos:maxm@EXAMPLE.COM gesetzt.
Auf dem Windows-7-System dient folgendes Kommando zur Konfiguration
der KDC-Informationen des MIT-Realm EXAMPLE.COM:
C:\>ksetup /addkdc EXAMPLE.COM kdc01.example.com
Nach diesen Schritten können Sie sich als
maxm@EXAMPLE.COM an der Maschine
win7.ads.example.com anmelden.