PUR

Kerberos-Authentifizierung - was ist das?


Bild: <span>JARIRIYAWAT/Shutterstock.com</span>

Die sogenannte Kerberos-Authentifizierung ist ein Authentifizierungsdienst, der in offenen bzw. unsicheren Netzwerken eingesetzt wird, um dort den Zugriff zwischen mindestens zwei vertrauenswürdigen Hosts zu autorisieren. In diesem Artikel erklären wir Ihnen, wie der Dienst funktioniert und wo er zum Einsatz kommt.

Was ist die Kerberos-Authentifizierung?

Bei der Kerberos-Authentifizierung handelt es sich um ein Sicherheitsprotokoll, das verschiedene Dienstanfragen authentifiziert. Das Kerberos-Protokoll wurde in den 80er-Jahren entwickelt und hat sich mittlerweile als Standard-Authentifizierungsmethode für das Betriebssystem Microsoft Windows etabliert. In der griechischen Mythologie ist Kerberos ein dreiköpfiger Höllenhund, der den Eingang zur Unterwelt sichert. Die Sicherheit, die durch das Kerberos-Protokoll gegeben ist, basiert - analog zu den drei Köpfen des Höllenhundes - auf Client, Key-Distribution-Center und Hosting-Server. Computer, Benutzer und Dienste, die mit Kerberos arbeiten, müssen das sogenannte KDC (Key Distribution Center) verwenden, um Vorgänge und Dienste zu authentifizieren. Dabei werden neben der Authentifizierung selbst sogenannte "KDC-Tickets" vergeben, die in den Authentifizierungsprozess mit eingebunden werden. Kerberos verwendet bei der Authentifizierung eine klassische Shared-Secret-Kryptografie, die verhindert, dass andere Prozesse während der Übertragung der Datenpakete auf diese zugreifen können. So sind sie auch vor Abhör- und Wiederholungsangriffen geschützt.

Microsoft führte Kerberos mit Windows 2000 erstmals ein. Auch für Webseiten und Single-Sign-On-Implementierungen kann man Kerberos heute standardmäßig verwenden. Konkrete Anwendung findet die Kerberos-Authentifizierung bei Webseiten-Anmeldungen oder auch bei vielen Windows-Diensten. Bei ersteren hat sich das Protokoll mittlerweile als Standard etabliert. Zudem ist Kerberos nicht an Windows gebunden, sondern kann auch in Apple- oder Linux-Systemen implementiert werden.

Wie funktioniert die Kerberos-Authentifizierung?

Zunächst sollten zum besseren Verständnis der Vorgänge einige Begriffe erläutert werden. Dafür haben wir Ihnen die wichtigsten Begriffe tabellarisch zusammengefasst:

Client Führt die Anweisungen des Nutzers aus und initiiert die Kommunikation bei einer Dienstanforderung.
Hosting-Server Hier befindet sich der Dienst, auf den der Nutzer zugreifen möchte.
Authentifizierungs-Server (AS) Führt die Authentifizierungsprozesse aus.
Ticket Granting Server (TGS) Stellt dem Client Service-Tickets (ST).
Key Distribution Center (KDC) Das KDC besteht aus dem Authentifizierungsserver (AS) und dem Ticket Granting Server (TGS).

Der Vorgang der Authentifizierung durch das Kerberos-Protokoll läuft dann so ab:

  1. Der Client stellt zunächst eine verschlüsselte Anfrage an den Authentifizierungsserver (AS). Wenn die Anfrage beim Authentifizierungsserver eingeht, wird per Benutzer-ID nach dem Passwort gesucht. Wenn der Benutzer die richtigen Informationen eingegeben hat, kann der der AS die Anfrage entschlüsseln.
  2. Nach der Verifizierung wird ein sogenanntes Ticket-Granting-Ticket (TGT) ausgestellt, welches dann an den Client zurückgesendet wird.
  3. Der Client leitet das TGT an den Ticket-Granting-Server weiter. Der TGS entschlüsselt das Ticket mit dem geheimen Schlüssel, den AS und TGS miteinander teilen.
  4. Ist das TGT gültig, wird ein Service-Ticket (ST) für den Client ausgestellt.
  5. Das ST wird vom Client dann an den Host-Server geschickt. Dieser entschlüsselt das ST mit dem geheimen Schlüssel, den Server und TGB miteinander teilen.
  6. Stimmen beide Schlüssel überein, wird dem Client der Zugriff auf den Dienst für eine begrenzte Zeit erlaubt. Die Zeit wird mit dem ST festgelegt. Läuft der Zeitraum ab, kann er mit dem sogenannten Kinit-Befehl verlängert werden. Dieser Befehl startet den gesamten Kerberos-Prozess erneut.

Zur besseren Übersicht haben wir Ihnen den Vorgang einer Authentifizierung nach dem Kerberos-Protokoll grafisch veranschaulicht:

Der Authentifizierungsprozess nach Kerberos in 6 Schritten zusammengefasst.

Mehr zum Thema: