Active Directory.pdf - Gattner

Einführung in Kerberos
Kerberos-Sicherheit 277
Ein Kerberos-basiertes System umfasst drei Komponenten. Die erste Komponente ist der Client, der
Zugriff auf Netzwerkressourcen benötigt. Die zweite Komponente ist der Server, der die Netzwerkressourcen
verwaltet und sicherstellt, dass nur ordnungsgemäß authentifizierte und autorisierte Benutzer
Zugriff auf die Ressource erhalten. Die dritte Komponente ist ein Schlüsselverteilungscenter (Key
Distribution Center, KDC), das als zentraler Ort für die Speicherung von Benutzerinformationen und
als zentraler Dienst für die Benutzerauthentifizierung dient.
Das Kerberos-Protokoll definiert, wie diese drei Komponenten interagieren. Diese Interaktion basiert
auf zwei Hauptgrundsätzen. Zunächst wird beim Kerberos-Modell davon ausgegangen, dass der
Authentifizierungsdatenverkehr zwischen einer Arbeitsstation und einem Server über ein unsicheres
Netzwerk erfolgt. Dies bedeutet, dass vertrauliche Anmeldeinformationen niemals als Klartext über
das Netzwerk gesendet werden. Ein praktisches Beispiel hierfür ist, dass das Benutzerkennwort niemals
über das Netzwerk gesendet wird, auch nicht in verschlüsselter Form. Der zweite Grundsatz
besagt, dass die Verwendung von Kerberos basierend auf einem Authentifizierungsmodell mit einem
gemeinsamen geheimen Schlüssel erfolgt. In einem Authentifizierungsmodell mit gemeinsamem
geheimem Schlüssel verwenden der Client und der authentifizierende Server gemeinsam einen
geheimen Schlüssel, der niemandem sonst bekannt ist. In den meisten Fällen, in denen sich Benutzer
gegenüber dem Netzwerk authentifizieren, handelt es sich bei dem gemeinsamen geheimen Schlüssel
um das Benutzerkennwort. Wenn der Benutzer sich an einem über Kerberos geschützten Netzwerk
anmeldet, wird ein Hash des Benutzerkennworts zum Verschlüsseln eines Informationspakets verwendet.
Sobald das Schlüsselverteilungscenter das Paket erhält, entschlüsselt es die Informationen mit
dem in den AD DS gespeicherten Benutzerkennworthash. Ist die Entschlüsselung erfolgreich, weiß
der authentifizierende Server, dass der Benutzer den gemeinsamen geheimen Schlüssel kennt, und der
Zugriff wird gewährt.
Hinweis Wenn sich der Benutzer anmeldet, gibt er bzw. sie üblicherweise ein Kennwort ein. Der Domänencontroller
prüft, ob das Kennwort korrekt ist. Da die Verwendung von Kerberos jedoch in der Annahme
erfolgt, das Netzwerk sei unsicher, wird diese Prüfung durchgeführt, ohne dass das Kennwort über das Netzwerk
gesendet wird.
Eines der Probleme bei einem Authentifizierungsmodell mit gemeinsamem geheimem Schlüssel
besteht darin, dass der Benutzer und der Server, der die Netzwerkressource verwaltet, über eine
Methode zur gemeinsamen Verwendung des geheimen Schlüssels verfügen müssen. Wenn ein Benutzer
versucht, Zugriff auf eine Ressource eines Servers zu erlangen, kann ein Benutzerkonto mit einem
Kennwort auf dem Server erstellt werden, das nur der Benutzer kennt. Wenn der Benutzer versucht,
auf die Ressourcen des Servers zuzugreifen, kann der Benutzer den gemeinsamen geheimen Schlüssel
(das Kennwort) vorlegen und erhält Zugriff auf die Ressource. In einer Unternehmensumgebung
jedoch können Tausende von Benutzern und Hunderte von Servern vorliegen. Die Verwaltung individueller
gemeinsamer geheimer Schlüssel für sämtliche dieser Benutzer wäre praktisch unmöglich.
Kerberos umgeht dieses Problem durch die Verwendung eines Schlüsselverteilungscenters (Key Distribution
Center, KDC). Das Schlüsselverteilungscenter wird als Dienst auf einem Domänencontroller
im Netzwerk ausgeführt und verwaltet die gemeinsamen geheimen Schlüssel für alle Benutzer im
Netzwerk. Das Schlüsselverteilungscenter verfügt über eine zentrale Datenbank aller Benutzerkonten
im Netzwerk und speichert den gemeinsamen geheimen Schlüssel für jeden Benutzer (in Form
eines unidirektionalen Hashwerts des Benutzerkennworts).