Active Directory.pdf - Gattner

Integration in Smartcards
Kerberos-Sicherheit 293
Hinweis Zertifikate können Benutzerkonten über das Verwaltungsprogramm Active Directory-Benutzer
und -Computer oder über den Microsoft Internet Information Server (IIS) Manager zugeordnet werden. Aktivieren
Sie im Verwaltungsprogramm Active Directory-Benutzer und -Computer im Menü Ansicht die Option
Erweiterte Features, und verwenden Sie anschließend die Option Namenszuordnungen, die beim Rechtsklick
auf ein Benutzerkonto verfügbar wird.
Smartcards stellen eine weitere Option zur Integration der PKI in die Kerberos-Authentifizierung dar.
Wenn Kerberos ohne PKI verwendet wird, wird der gemeinsame geheime Schlüssel zwischen dem
Client und dem KDC zum Verschlüsseln des anfänglichen Anmeldeaustauschs mit dem Authentifizierungsdienst
verwendet. Dieser Schlüssel leitet sich aus dem Benutzerkennwort ab, und es wird derselbe
Schlüssel zum Verschlüsseln und Entschlüsseln der Informationen verwendet. Smartcards nutzen
ein PKI-Modell, in dem sowohl ein öffentlicher als auch ein privater Schlüssel zum Verschlüsseln
und Entschlüsseln der Anmeldeinformationen verwendet werden.
Eine Smartcard enthält den öffentlichen und den privaten Schlüssel des Benutzers sowie ein X.509
v3-Zertifikat. All diese Komponenten werden verwendet, wenn der Benutzer sich mithilfe der Smartcard
an den AD DS authentifiziert. Der Anmeldevorgang beginnt, sobald der Benutzer eine Smartcard
in den Smartcard-Leser einlegt und seine PIN (persönliche Identifizierungsnummer) eingibt. Das
Einlegen der Smartcard in das Lesegerät wird von der LSA auf dem Computer als Strg+Alt+Entf-
Sequenz interpretiert, und der Anmeldevorgang beginnt.
Die PIN wird zum Lesen des Benutzerzertifikats und des öffentlichen und privaten Schlüssels von der
Smartcard verwendet. Anschließend sendet der Client eine reguläre TGT-Anforderung an das KDC.
Statt jedoch die Vorautorisierungsdaten (Zeitstempel) zu senden, die mit dem vom Kennwort abgeleiteten
geheimen Schlüssel des Benutzers verschlüsselt sind, sendet der Client den öffentlichen Schlüssel
und das Zertifikat an das KDC. Die TGT-Anforderung enthält noch immer die Vorautorisierungsdaten,
ist jedoch mit dem privaten Schlüssel des Benutzers digital signiert.
Wenn die Nachricht beim KDC ankommt, wird das Clientzertifikat überprüft, um sicherzustellen,
dass es gültig ist und dass die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, vertrauenswürdig
ist. Das KDC überprüft außerdem die digitale Signatur der Vorautorisierungsdaten, um die
Echtheit des Nachrichtenabsenders und die Integrität der Nachricht sicherzustellen. Wenn beide
Prüfungen positiv verlaufen, verwendet das KDC den im Clientzertifikat enthaltenen UPN (User Principal
Name) zum Nachschlagen des Kontonamens in AD DS. Wenn das Benutzerkonto gültig ist,
authentifiziert das KDC den Benutzer und sendet ein TGT mit einem Sitzungsschlüssel an den Client
zurück. Der Sitzungsschlüssel ist mit dem öffentlichen Schlüssel des Clients verschlüsselt, und der
Client verwendet den privaten Schlüssel zum Entschlüsseln der Informationen. Dieser Sitzungsschlüssel
wird anschließend für sämtliche Verbindungen mit dem KDC verwendet.
Hinweis Das Einrichten der Smartcardanmeldung für Ihr Netzwerk bedeutet einen erheblichen Arbeitsaufwand.
Zuerst müssen Sie eine Zertifizierungsstelle zum Ausstellen der Zertifikate bereitstellen. Anschließend
müssen Sie Smartcard-Registrierungsstationen einrichten, von denen Benutzer ihre Smartcards
beziehen und die Zertifikate und Schlüssel den Karten zugewiesen werden können. Nach der ersten Bereitstellung
müssen Sie sich um die Verwaltungsaufgaben wie verlorene oder verlegte Karten kümmern. Smartcards
bieten eine hervorragende zusätzliche Sicherheit in Ihrem Netzwerk; diese zusätzliche Sicherheit ist
jedoch mit erheblichem Verwaltungsaufwand verbunden. In vielen Unternehmen werden Smartcards nur
zum Sichern von Administratorkonten und zum Ermöglichen der Remotezugriffsicherheit eingesetzt.