Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Authentifizierungsprotokolle 37
Um alle diese Ziele zu erreichen, nutzt Kerberos neben Verschlüsselung auch eine Zeitsynchronisierung.
In der Standardeinstellung müssen in Windows die Uhren von Client und
Server innerhalb eines Toleranzbereichs von 5 Minuten synchron laufen. Sie können diese
Einstellung verändern, falls Sie in einer Umgebung mit wahrscheinlich starker Zeitabweichung
arbeiten. In diesem Fall können Sie den Wert Max. Toleranz für die Synchronisation
des Computertakts unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Kontorichtlinien\Kerberos-Richtlinien
in einem Gruppenrichtlinienobjekt anpassen,
das auf die Computer angewendet wird, für die Sie die Toleranz für die Zeitabweichung
einstellen wollen. Denken Sie aber daran, dass die effektive maximale Toleranz für die Zeitabweichung
der niedrigste Wert in der Transaktion ist. Jeder der Computer kann die Transaktion
zurückweisen, falls der Zeitstempel außerhalb des erlaubten Toleranzbereichs liegt.
Um zu verstehen, wie Kerberos arbeitet, sehen wir uns in Abbildung 2.12 einen Austausch
an. Dabei meldet sich ein Benutzer an einer Arbeitsstation an und fordert dann eine Datei
von einem Dateiserver an.
Der Austausch in Abbildung 2.12 besteht aus folgenden Elementen:
1. Wenn der Computer gestartet ist, erstellt er einige Vorauthentifizierungsdaten, die unter
anderem einen Zeitstempel umfassen. Diese Vorauthentifizierungsdaten werden mit
einem Schlüssel verschlüsselt, der aus dem Kennwort des Computers abgeleitet ist. Die
Daten werden zu einem KRB_AS_REQ-Paket (Kerberos Authentication Service Request)
zusammengefasst und an den Authentifizierungsdienst (Authentication Service, AS)
gesendet, der auf dem Schlüsselverteilungscenter (Key Distribution Center, KDC) läuft.
Dieses Schlüsselverteilungscenter ist hier der Domänencontroller.
2. Der AS erstellt ein TGT (Ticket Granting Ticket) und einen Sitzungsschlüssel, die der
Client verwenden kann, um mit dem TGS (Ticket Granting Service) zu kommunizieren.
Der TGS läuft in Windows ebenfalls auf dem Domänencontroller. Dieser Schlüssel ist in
Abbildung 2.12 mit mit Keyclient,TGS bezeichnet. Er wird an den Client übertragen, nachdem
er mit dem öffentlichen Schlüssel des Clients verschlüsselt wurde. Diese Nachricht
wird als KRB_AS_REP zurückgesendet.
3. Der Client sendet nun eine KRB_TGS_REQ-Nachricht an den TGS auf dem KDC, um ein
Ticket für den Dateiserver anzufordern. Diese Anforderung enthält das TGT, außerdem
gibt sie an, auf welchen Dienst der Client zugreifen will, und umfasst Informationen zum
Client, die mit dem öffentlichen Schlüssel des TGS verschlüsselt sind. Die KRB_TGS_REQ-
Nachricht enthält einen Authentifizierer, der im Wesentlichen ein Zeitstempel ist, der mit
dem Sitzungsschlüssel verschlüsselt ist, den sich der Client mit dem TGS teilt.
4. Der TGS antwortet mit einer KRB_TGS_REP-Nachricht, die ein Ticket für den Dienst umfasst,
den der Client angefordert hat. Die Nachricht enthält dieselben Informationen, die
der Client in seiner KRB_TGS_REQ-Nachricht gesendet hat, diesmal sind sie aber mit dem
öffentlichen Schlüssel des Servers verschlüsselt. Anders ausgedrückt: Der Client kann
diese Daten nicht lesen. Der TGS generiert außerdem einen Sitzungsschlüssel, den der
Client mit dem Server teilen kann, und verschlüsselt ihn mit dem Sitzungsschlüssel, den
der Client mit dem TGS teilt.
5. Zuletzt sendet der Client sein Ticket für den Dienst an den Server. Dafür wird eine
KRB_AP_REQ-Nachricht verwendet. Die Clientinformationen und der Client/Server-
Sitzungsschlüssel werden mit dem öffentlichen Schlüssel des Servers verschlüsselt.
Außerdem enthält die Nachricht den Authentifizierer des Clients, der mit dem gemeinsamen
Sitzungsschlüssel verschlüsselt ist.