Dateisysteme sicher freigeben mit gssproxy

Daniel Kobras and Michael Weiser

Playlists: 'clt24' videos starting here / audio

Vom Webdienst bis zum Netzwerk-Login gehört die Transportverschlüsselung der übertragenen Daten längst zu den selbstverständlichen Eigenschaften der dafür eingesetzten Protokolle. Kurioserweise gilt das aber nicht, wenn komplette Dateisysteme über das Netzwerk exportiert werden. Die dabei gebräuchlichen Verfahren NFS und SMB bieten zwar sichere Varianten an, doch allzu oft wählen Admins hier in der Praxis noch den einfachen Weg und vertrauen auf die Integrität des Netzwerks.

Tatsächlich knüpfen SMB wie NFS in den gängigen Versionen Transportverschlüsselung an starke User-Authentisierung und schaffen dadurch zusätzliche Hürden vor allem für nicht-interaktive Zugriffe auf Multi-User-Umgebungen. Die Komplexität der dafür vorhandenen Lösungswege hat so manches Admin-Team kapitulieren und auf die althergebrachten unverschlüsselten Verfahren zurückfallen lassen.

Dabei gibt es als Abhilfe seit einigen Jahren den Dienst gssproxy, der die anfallenden Aufgaben mit minimalem Konfigurationsaufwand erledigt. Der Vortrag zeigt an praxisnahen Beispielen das Zusammenspiel von gssproxy mit NFS- und SMB-Clients auf aktuellen Linux-Systemen und erläutert die passenden Einstellungen für typische Einsatzzwecke. Auf der theoretischen Seite gibt es zudem noch Hintergrundwissen zur technischen Basis um Kerberos und dessen Erweiterungen für Delegation und Impersonifizierung.

Download

Embed

Share:

Tags