Suchen

Kerberos

| Redakteur: Gerald Viola

Kerberos ist eine sicher Methode für die Authentifizierung von Serviceanforderungen in einem Computernetzwerk. Kerberos wurde im Rahmen des Athena Projekts am Massachusetts Institute

Firma zum Thema

Kerberos ist eine sicher Methode für die Authentifizierung von Serviceanforderungen in einem Computernetzwerk. Kerberos wurde im Rahmen des Athena Projekts am Massachusetts Institute of Technology (MIT) entwickelt. Der Name stammt aus der griechischen Mythologie, wo Kerberos ein dreiköpfiger Hund war, der das Tor zur Hölle bewacht hat. Unter Kerberos fordert ein Benutzer ein verschlüsseltes "Ticket" vom Authentifizierungsprozess an; das Ticket wird dann zur Anforderung eines bestimmten Dienstes verwendet. Das Benutzer-Passwort muss daher nicht über das Netzwerk übertragen werden. Eine Version von Kerberos (Client und Server) kann vom MIT heruntergeladen werden, aber auch kommerzielle Versionen sind erhältlich.

Kurz zusammengefasst, so funktioniert Kerberos:

  • Gehen wir davon aus, Sie wollen auf einem Server zugreifen, der auf einem anderen Computer läuft (sie können den Computer ansprechen, indem sie eine Telnet- oder ähnliche Login-Anforderung schicken). Sie wissen, dass dieser Server ein Kerberos-"Ticket" verlangt, bevor er Ihrer Anforderung nachkommt.
  • Um das Ticket zu erhalten, lassen Sie sich zuerst vom Authentifizierungsserver (AS) authentifizieren. Der Authentifizierungsserver erstellt einen "Sitzungsschlüssel" (der auch für die Verschlüsselung genutzt wird) auf Basis Ihres Passworts (das es von Ihrem Benutzernamen auslesen kann) sowie einer Zufallszahl, die für den angeforderten Service steht. Dieser Sitzungsschlüssel ist im Grunde ein "Ticket-Granting-Ticket".
  • Als nächstes übertragen Sie das Ticket-Granting-Ticket an den Ticket-Granting-Server (TGS). Der TGS ist unter Umständen dasselbe physikalische Gerät wie der Authentifizierungsserver, aber er führt jetzt einen anderen Service aus. Der TGS gibt Ihnen ein Ticket zurück, das an den Server mit dem angeforderten Service übertragen werden kann.
  • Der Service wird das Ticket nun entweder ablehnen, oder akzeptieren und den Service ausführen.
  • Weil das vom TGS übermittelte Ticket mit einem Zeitstempel versehen ist, gestattet es Ihnen, weitere Anforderungen innerhalb eines bestimmten Zeitraums zu stellen (in der Regel acht Stunden), ohne sich neu authentifizieren zu müssen. Weil das Ticket eine begrenzte Gültigkeitsdauer hat, ist die Wahrscheinlichkeit, dass es von einem zweiten User wiederverwendet wird gering.

Der eigentliche Prozess ist viel komplizierter als die obige Beschreibung vermuten lässt. Die Benutzerprozedur kann je nach Implementierung etwas anders ausfallen.

(ID:2020922)