Bin mir nicht mehr ganz so sicher, ob ich nach dem SLP Teil fuer Knot wirlich mit SIP weitermachen soll. Ich habe ein paar nette Ideen fuer ein Authentifizierungssystem auf Kerberos-Basis mit Offline-Authentifizierung. Es würde aus zwei Teilen basieren, die im Knot-Framework laufen, allerdings aus Sicherheitsgründen in eigenen Prozessen. Zum einen der Kerberos Server (KDC & TGS), der mittels wie Heimdal und andere die Passwörter verwaltet, die ich in OpenLDAP speichern würde. Teil 2 beinhaltet den Kerberos-Client (der sonst als Library implementiert ist) und die Offline-Funktionalitäten.

Ein Notebook würde, solange es seinen Server erreichen kann, ganz normal alle User per Kerberos authentifizieren. Der Spass aber fängt an, wenn der User sein Notebook mitnimmt und der Kerberos-Server nicht mehr erreichbar ist. Für diesen Fall würde der Client Kerberos-Daten cachen, so dass der Besitzer sich ohne Administrationsaufwand (wie das Anlegen lokaler Benutzer) jederzeit einloggen kann.

Der zweite Offline-Anwendungsfall ist, wenn zwei Benutzer verschiedener Notebooks unterwegs Daten austauschen wollen. Dazu würde der Knot auf Notebook A eine Anfrage zum Knot B schicken, dass Benutzer X sich gerne einloggen wuerde. Auf B muss der dortige Benutzer Y diesem zustimmen. Daraufhin erzeugt B einen Public Key fuer X und schickt A den Private Key. Solange A/X diesen hat (und das Zertifikat nicht auslaeuft oder Y ihn sperrt), kann Benutzer X auf Notebook B mit seinem normalen Account zugreifen. Hoffentlich lässt sich das per GSSAPI abbilden... Wenn A und B normalerweise mit demselben Kerberos Server kommunizieren, kann die Identität von X zusätzlich noch durch eine Signatur bewiesen werden.

Von den beiden Offline-Fällen abgesehen gäb es noch ein paar andere netter Sachen, zB das Finden von Kerberos-Servern per SLP (was flexibler ist als DNS).

Zusammen mit den nötigen Administrationstools wäre ich damit problemlos deutlich über 6 Monate beschäftigt... dazu kaemen noch Kleinigkeiten, wie ein sicherer Abgleich der Zeit (vielleicht die groesste Schwäche derzeitiger Kerberos-Installationen).

Dafür waere die Kombination SLP+(Offline-)Kerberos+LDAP eine Kombination, mit dem man ActiveDirectory nicht nur Konkurrenz machen könnte, sondern es noch übertreffen.