Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- Funktionsweise von Kerberos

19.3. Funktionsweise von Kerberos

Kerberos unterscheidet sich von Benutzername/Passwort-Authentifizierungsmethoden. Die Authentifizierung erfolgt nicht von jedem Benutzer zu jedem Netzwerk-Service. Kerberos verwendet stattdessen die symmetrische Verschl�sselung und einen vertrauensw�rdigen Dritten, das sogenannte Key Distribution Center (KDC), um Benutzer auf einem Netzwerk f�r mehrere Dienste zu authentifizieren. Nach der Authentifizierung speichert Kerberos ein f�r diese Sitzung spezifisches Ticket auf dem Rechner des Benutzers. Kerberisierte Dienste suchen dieses Ticket, bevor sie den Benutzer zur Authentifizierung mittels eines Passwortes auffordern.

Wenn sich ein Benutzer in einem kerberisierten Netzwerk an seinem Arbeitsplatzrechner anmeldet, wird sein Principal f�r die Anforderung eines Ticket Granting Ticket (TGT) an den Authentifizierungs-Server (AS) gesendet. Diese Anforderung kann entweder vom Anmeldeprogramm (also f�r den Benutzer transparent) oder nach dem Anmelden des Benutzers vom Programm kinit gesendet werden.

Der KDC sucht dann in seiner Datenbank nach diesem Principal. Sobald der Principal gefunden wurde, erstellt der KDC ein TGT, verschl�sselt es unter Verwendung des zu diesem Benutzer geh�renden Schl�ssels und sendet es an den Benutzer zur�ck.

Das Anmeldeprogramm auf dem Client oder kinit entschl�sselt das TGT mit Hilfe des Benutzerschl�ssels (den es aus dem Passwort des Benutzers errechnet). Der Benutzerschl�ssel wird lediglich auf der Client-Maschine benutzt und wird nicht �ber das Netzwerk versendet.

Das TGT ist nur eine bestimmte Zeitspanne (gew�hnlich 10 Stunden) g�ltig und wird im Berechtigungs-Cache des Client gespeichert. Die G�ltigkeitsdauer ist so eingerichtet, dass ein TGT immer nur f�r eine bestimmte Zeitspanne verwendet werden kann. Ist das TGT erst einmal erstellt, muss der Benutzer das Passwort bis zum Ablauf der G�ltigkeit des TGT nicht erneut eingeben bzw. bis sich der Benutzer ab- und neu anmeldet.

Wenn der Benutzer auf einen Netzwerkdienst zugreifen m�chte, verwendet der Client das TGT, um vom Ticket Granting Server (TGS) ein Ticket f�r den Service anzufordern. Der TGS stellt ein Ticket f�r den gew�nschten Service aus, welches sodann zur transparenten Authentifizierung des Benutzers verwendet wird.

WarnungWarnung
 

Das Kerberos-System kann immer dann kompromittiert werden, wenn ein Benutzer auf dem Netzwerk gegen einen nicht kerberisierten Service authentifiziert und ein Passwort als Klartext gesendet wird. Von der Verwendung von nicht kerberisierten Services wird daher abgeraten. Diese Services umfassen Telnet und FTP. Andere, verschl�sselte Protokolle wie zum Beispiel SSH oder SSL Secured Services k�nnen dagegen verwendet werden, auch wenn diese nicht unbedingt ideal sind.

Dies ist selbstverst�ndlich nur ein grober �berblick �ber die typische Funktionsweise der Kerberos-Authentifizierung in einem Netzwerk. Weiterf�hrende Informationen zur Kerberos-Authentifizierung finden Sie unter Abschnitt 19.7.

AnmerkungAnmerkung
 

Kerberos ben�tigt verschiedene Netzwerk-Services, um fehlerfrei zu arbeiten. Zun�chst ist f�r Kerberos eine Zeitsynchronisierung zwischen den Rechnern im Netzwerk erforderlich. F�r das Netzwerk sollte daher ein Programm zur Zeitsynchronisierung wie zum Beispiel ntpd eingerichtet werden. Weiterf�hrende Informationen zum Konfigurieren von ntpd finden Sie unter und zum Einrichten von NTP (Network Time Protocol) Servern finden Sie unter /usr/share/doc/ntp-<version-number>/index.htm (ersetzen Sie<version-number> durch die Versionsnummer des auf Ihrem System installierten ntp-Pakets).

Da Kerberos zum Teil auch auf den Domain Name Service (DNS) angewiesen ist, m�ssen Sie sich au�erdem vergewissern, dass die DNS-Eintr�ge und Hosts im Netzwerk richtig eingerichtet sind. Weitere Informationen finden Sie imKerberos V5 System Administrator's Guide, der unter /usr/share/doc/krb5-server-<version-number> in den Formaten PostScript und HTML zur Verf�gung steht (ersetzen Sie <version-number> mit der Versionsnummer des auf Ihrem System installierten krb5-server-Paket.

 
 
  Published under the terms of the GNU General Public License Design by Interspire