Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 18. Kerberos | Nach vorne |
Kerberos unterscheidet sich von Benutzername/Passwort-Authentifizierungsmethoden. Die Authentifizierung erfolgt nicht von jedem Benutzer zu jedem Netzwerk-Service. Kerberos verwendet stattdessen die symmetrische Verschlüsselung und einen vertrauenswürdigen Dritten — das so genannte Key Distribution Center (KDC) — um Benutzer auf einem Netzwerk für mehrere Dienste zu authentifizieren. Nach der Authentifizierung speichert Kerberos ein für diese Sitzung spezifisches Ticket auf dem Rechner des Benutzers. Kerberisierte Dienste suchen dieses Ticket, bevor sie den Benutzer zur Authentifizierung mittels eines Passwortes auffordern.
Wenn sich ein Benutzer in einem kerberisierten Netzwerk an seiner Workstation anmeldet, wird sein Principal für die Anforderung eines Ticket Granting Ticket (TGT) an den Authentifizierungs-Server (AS) gesendet. Diese Anforderung kann entweder vom Anmeldeprogramm (also für den Benutzer transparent) oder nach dem Anmelden des Benutzers vom Programm kinit gesendet werden.
Der KDC sucht dann in seiner Datenbank nach diesem Principal. Sobald der Principal gefunden wurde, erstellt der KDC ein TGT, verschlüsselt es unter Verwendung des zu diesem Benutzer gehörenden Schlüssels und sendet es an den Benutzer zurück.
Das Anmeldeprogramm auf dem Client oder kinit entschlüsselt das TGT mit Hilfe des Benutzerschlüssels (den es aus dem Passwort des Benutzers errechnet). Der Benutzerschlüssel wird lediglich auf der Client-Maschine benutzt und wird nicht über das Netzwerk versendet.
Das TGT ist nur eine bestimmte Zeitspanne (gewöhnlich 10 Stunden) gültig und wird im Berechtigungs-Cache des Client gespeichert. Die Gültigkeitsdauer ist so eingerichtet, dass ein TGT immer nur für eine bestimmte Zeitspanne verwendet werden kann. Ist das TGT erst einmal erstellt, muss der Benutzer das Passwort bis zum Ablauf der Gültigkeit des TGT nicht erneut eingeben bzw. bis sich der Benutzer ab- und neu anmeldet.
Wenn der Benutzer auf einen Netzwerkdienst zugreifen möchte, verwendet der Client das TGT, um vom Ticket Granting Server (TGS) ein Ticket für den Service anzufordern. Der TGS stellt ein Ticket für den gewünschten Service aus, das zur Authentifizierung des Benutzers verwendet wird.
![]() | Warnung |
---|---|
Das Kerberos-System kann immer dann kompromittiert werden, wenn ein Benutzer auf dem Netzwerk gegen einen nicht kerberisierten Service authentifiziert und ein Passwort als Klartext gesendet wird. Von der Verwendung von nicht kerberisierten Services wird daher abgeraten. Diese Services umfassen Telnet und FTP. Andere, verschlüsselte Protokolle wie zum Beispiel SSH oder SSL Secured Services können dagegen verwendet werden, auch wenn diese nicht unbedingt ideal sind. |
Dies ist selbstverständlich nur ein grober Überblick über die typische Funktionsweise der Kerberos-Authentifizierung in einem Netzwerk. Weiterführende Informationen zur Kerberos-Authentifizierung finden Sie unter Abschnitt 18.7.
![]() | Anmerkung |
---|---|
Kerberos benötigt verschiedene Netzwerk-Services, um fehlerfrei zu arbeiten. Zunächst ist für Kerberos eine Zeitsynchronisierung zwischen den Rechnern im Netzwerk erforderlich. Für das Netzwerk sollte daher ein Programm zur Zeitsynchronisierung wie zum Beispiel ntpd eingerichtet werden. Weiterführende Informationen zum Konfigurieren von ntpd und zum Einrichten von NTP (Network Time Protocol) Servern finden Sie unter /usr/share/doc/ntp-<version-number>/index.htm (ersetzen Sie<version-number> durch die Versionsnummer des auf Ihrem System installierten ntp-Pakets). Da Kerberos zum Teil auch auf den Domain Name Service (DNS) angewiesen ist, müssen Sie sich außerdem vergewissern, dass die DNS-Einträge und Hosts im Netzwerk richtig eingerichtet sind. Weitere Informationen finden Sie imKerberos V5 System Administrator's Guide, der unter /usr/share/doc/krb5-server-<version-number> in den Formaten PostScript und HTML zur Verfügung steht (ersetzen Sie <version-number> mit der Versionsnummer des auf Ihrem System installierten krb5-server-Paket. |
Zurück | Zum Anfang | Nach vorne |
Kerberos-Terminologie | Nach oben | Kerberos und PAM |