Red Hat Identity Management

Das Identitätsmanagement in Red Hat Enterprise Linux bietet eine zentralisierte, übersichtliche und sichere Methode, um Identitäten zu verwalten. Dabei kann es sich um Benutzer, Computer oder Dienste handeln, die in einer LDAP-Struktur (Lightweight Directory Access Protocol) abgelegt sind. Dazu kommen das Sicherheitsprotokoll Kerberos sowie ein integrierter PKI-Dienst (Public Key Infrastructure), der als CA (Certification Authority) X.509-Zertifikate ausstellt. Mit diesen Zertifikaten können sich Benutzer, Computer und Dienste kryptografisch sicher ausweisen, beispielsweise über eine SSL/TLS-Verbindung.

Zum PKI-Dienst gehören neben dem Signieren und Veröffentlichen von Zertifikaten auch das Verwalten von CRLs (Certificate Revocation List) und ein OCSP-Dienst (Online Certificate Status Protocol). Letzterer stellt eine API zum Anfordern, Anzeigen und Suchen von Zertifikaten bereit, mit der Programme beispielsweise prüfen können, ob ein Zertifikat widerrufen wurde.

Mit dem Sicherheitsprotokoll Kerberos sind SSO-Dienste möglich (Single Sign On), bei denen sich der Anwender nur an einer Stelle authentifizieren muss und nicht bei jedem genutzten Dienst. Über Einmalpasswörter (OTP, One Time Password) ist eine Zwei-Faktor-Authentifizierung möglich (2FA). Diese kann entweder nativ verwaltete Token verwenden oder die 2FA-Lösung eines Drittanbieters mithilfe des Radius-Protokolls einbinden.

Das Identitätsmanagement kann auch eine direkte Verbindung zu Microsofts Active Directory (AD) eingehen. Dabei ruft eine Komponente Informationen aus dem AD ab, eine zweite vereinfacht die Konfiguration, um einer AD-Domäne beizutreten.

Funktionen und Vorteile

• LDAP-kompatibles Serverprodukt
• Zentralisiert Benutzeridentitäten und Anwendungsinformationen
• Beherrscht neben einfachen Passwörtern auch 2FA
• Verwaltet Benutzerprofile, Gruppendaten und Informationen zur Zugriffskontrolle
• Das Zertifikatssystem verfügt über ein Sicherheitsframework, um Benutzeridentitäten zu verwalten
• Durch die Integration in eine AD-Domäne auch in gemischten Umgebungen nutzbar

Herausforderungen

LDAP ist ein sehr flexibles System, allerdings haben die meisten Admins kaum Erfahrung mit den Details der Klassen, Schemata und Strukturen. Wir kennen LDAP in der Tiefe und verwenden es in vielen Konstellationen unter Linux und Windows mit verschiedenen Implementierungen.

Bei PKI und Kerberos ist die Fehlersuche der heikelste Teil: Um Angreifern keine Hinweise zu geben, verheimlichen kryptografische Protokolle die Ursache, warum eine Authentifizierung oder Entschlüsselung gescheitert ist. Wir wissen, an welchen Stellen wir prüfen müssen, damit es mit der sicheren Kommunikation klappt.

Mehr erfahren

• Red Hat Identity Management (englisch; Link zu Red Hat)
• FreeIPA (englisch; Link zum Upstream-Projekt)
• Wikipedia zu FreeIPA