brand icon

Next-Gen

Kerberos – Authentifizierung im TCP/IP Netz 


Um sich in TCP/IP-basierten Netzwerken mit einem User anmelden zu können, muss man sich zuerst authentifizieren. Der ganze Authentifizierungsprozess findet mithilfe von Kerberos statt. Doch was ist Kerberos und wie funktioniert es? Dies habe ich im letzten Quartal in der Berufsschule gelernt und schreibe dies nun hier auf. 

Was ist Kerberos? 

Kerberos wurde im Jahre 1978 von Steve Miller und Clifford Neuman entwickelt und basiert auf dem Needham-Schroeder-Protokoll. Heute gibt es bereits die fünfte Version von Kerberos und es wird weiterhin in TCP/IP Netzen zur Authentifizierung verwendet. Kerberos ermöglicht dank einer trusted Third Party einen sicheren Weg, die Authentifizierung in einem Netzwerk sicherzustellen.

Ein weiterer Vorteil von Kerberos ist das sogenannte SSo. SSo bedeutet Single Sign-on und bewirkt, dass sich der User nur einmal anmelden muss und danach sämtliche Netzwerkdienste nutzen kann, ohne erneut ein Passwort eingeben zu müssen.

Wie funktioniert Kerberos?

Um die Funktionen von Kerberos zu veranschaulichen, werden oft sogenannte „Tickets“ verwendet. Nach der Passworteingabe fordert der Client ein TGT (Authentifizierungsticket) vom KDC (Key Distribution Center) an, welches Teil der trusted Thirt Party ist. Das KDC überprüft die Anfrage auf ihre Richtigkeit und wenn diese in Ordnung ist, sendet das KDC ein verschlüsseltes TGT und einen Sitzungsschlüssel an den Client zurück. Der Client speichert seinerseits das TGT und den Sitzungsschlüssel bei sich ab. Sollte das TGT ablaufen wird automatisch ein neues angefordert. Wenn nun der Client auf einen Service im Netzwerk zugreifen will, sendet er sein aktuelles TGT mit dem gewünschten Service Namen an den TGS (Ticket-granting Server). Wenn das TGT gültig ist, sendet der TGS einen Service-spezifischen Sitzungsschlüssel an den Client, welcher diesen an den gewünschten Dienst weiterleitet und somit Zugriff auf den Dienst erhält.

 

 

18.10.2021 
Malvin Portner  
4. Lehrjahr Informatiker/EFZ Plattformentwicklung