Kerberos unterscheidet sich von anderen Authentifizierungsmethoden. Die Authentifizierung erfolgt nicht von jedem Benutzer zu jedem Netzwerk-Service, anstelle verwendet Kerberos die symmetrische Verschlüsselung und einen vertrauenswürdigen Dritten — das so genannte Key Distribution Center oder KDC — um Benutzer auf einem Netzwerk für mehrere Dienste zu authentifizieren. Nach der Authentifizierung speichert Kerberos ein für diese Sitzung spezifisches Ticket auf dem Rechner des Benutzers. Kerberisierte Dienste suchen dieses Ticket, bevor sie den Benutzer zur Authentifizierung mittels eines Passwortes auffordern.
Wenn sich ein Benutzer in einem kerberisierten Netzwerk an seiner Workstation anmeldet, wird sein Principal für die Anforderung eines Ticket Granting Ticket (TGT) an den KDC gesendet. Diese Anforderung kann entweder vom Anmeldeprogramm (also für den Benutzer transparent) oder - nachdem sich der Benutzer angemeldet hat - vom Programm kinit gesendet werden.
Der KDC sucht dann in seiner Datenbank nach diesem Principal. Sobald der Principal gefunden wurde, erstellt der KDC ein TGT, verschlüsselt es unter Verwendung des zu diesem Benutzer gehörenden Schlüssels und sendet es an den Benutzer zurück.
Das Anmeldeprogramm auf dem Client oder kinit entschlüsselt das TGT mit Hilfe des Benutzerschlüssels (den es aus dem Passwort des Benutzers errechnet). Der Benutzerschlüssel wird lediglich auf der Client-Maschine benutzt und wird nicht über das Netzwerk versendet.
Das TGT ist nur eine bestimmte Zeitspanne gültig und wird im Credential-Cache des Client gespeichert. Die Gültigkeitsdauer ist so eingerichtet, dass ein TGT immer nur während einer bestimmten Zeitspanne verwendet werden kann. Ist das TGT erst einmal erstellt, muss der Benutzer das Passwort für das KDC bis zum Ablauf der Gültigkeit des Passworts nicht erneut eingeben bzw. bis sich der Benutzer ab- und neu anmeldet.
Wenn der Benutzer auf einen Netzwerkdienst zugreifen möchte, verwendet der Client das TGT, um vom Ticket Granting Service (TGS) ein Ticket für den Service anzufordern, der auf dem KDC ausgeführt wird. Der TGS stellt ein Ticket für den gewünschten Service aus, das zur Authentifizierung des Benutzers verwendet wird.
![]() | Warnung |
---|---|
Das Kerberos-System kann jederzeit kompromitiert werden, wenn ein Benutzer auf dem Netzwerk gegen einen nicht kerberisierten Service authentifiziert und ein Passwort als Klartext gesendet wird. Von der Verwendung von nicht kerberisierten Services wird daher abgeraten. Diese Services umfassen Telnet und FTP. Andere sichere Protokolle wie zum Beispiel SSH oder SSL Secured Services können dagegen verwendet werden. |
Dies ist selbstverständlich nur ein grober Überblick über die typische Funktionsweise der Kerberos-Authentifizierung in einem Netzwerk. Weiterführende Informationen zur Kerberos-Authentifizierung finden Sie unter Abschnitt 17.7.
![]() | Anmerkung |
---|---|
Kerberos benötigt verschiedene Netzwerk-Services, um fehlerfrei zu arbeiten. Zunächst ist für Kerberos eine Zeitsynchronisierung zwischen den Rechnern im Netzwerk erforderlich. Für das Netzwerk sollte daher ein Programm zur Zeitsynchronisierung wie zum Beispiel ntpd eingerichtet werden. Für weiterführende Informationen zum Konfigurieren von ntpd, und zum Einrichten von NTP (Network Time Protocol) Servern, sehen Sie /usr/share/doc/ntp-<version-number>/index.htm. Da Kerberos zum Teil auch auf den Domain Name Service (DNS) angewiesen ist, müssen Sie sich außerdem vergewissern, dass die DNS-Einträge und Hosts im Netzwerk richtig eingerichtet sind. Sehen Sie die Kerberos V5 System Administrator's Guide, welche unter /usr/share/doc/krb5-server-<version-number> in den Formaten PostScript und HTML zur Verfügung steht für mehr Information. |
Zurück | Zum Anfang | Vor |
Kerberos-Terminologie | Zum Kapitelanfang | Kerberos und PAM |