Definition Kerberos

Was ist Kerberos?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Kerberos ermöglicht die sichere Authentifizierung in TCP/IP-Netzwerken mithilfe einer Trusted Third Party.
Kerberos ermöglicht die sichere Authentifizierung in TCP/IP-Netzwerken mithilfe einer Trusted Third Party. (Bild: gemeinfrei / Pixabay)

Kerberos ist ein verteilter, mit Tickets arbeitender Authentifizierungsdienst. Er lässt sich zur sicheren Authentifizierung in TCP/IP-Netzwerken einsetzen und stellt Usern Tickets zur Nutzung von Services zur Verfügung. Passwörter müssen nicht mehr über das Netzwerk übertragen werden. Microsoft setzt Kerberos als Standard­authentifizierungs­methode in Windows-basierten Netzwerken ein. Entwickelt wurde Kerberos am Massachusetts Institute of Technology.

Kerberos ist ein Authentifizierungsdienst für TCP/IP-basierte Netzwerke. Der Name "Kerberos" leitet sich aus der griechischen Mythologie ab und benennt den dreiköpfigen Höllenhund „Zerberus“, den Wächter am Eingang zur Unterwelt. Entwickelt wurde der Authentifizierungsdienst am Massachusetts Institute of Technology (MIT) im Rahmen des Projekts Athena Ende der 1980er Jahre.

Die eigentliche Authentifizierung übernimmt eine vertrauenswürdige dritte Partei (Trusted Third Party). Clients erhalten verschlüsselte Tickets, mit denen sie sich gegenüber den verschiedenen Diensten authentifizieren. Passwörter müssen nicht mehr über das Netzwerk übertragen werden. Dank Single-Sign-on-Unterstützung reicht es aus, wenn sich ein User nur einmal bei einem zentralen Key Distribution Center (KDC) anmeldet. Weitere Authentifizierungen gegenüber einzelnen Services erfolgen ohne eine Interaktion des Users. Die technischen Details des Authentifizierungsservices und der Ablauf der Authentifizierung sind im RFC 4120 spezifiziert.

Kerberos ist beim MIT als Client- und Serverversion verfügbar. Darüber hinaus existieren zahlreiche weitere freie oder kommerzielle Implementierungen. In Windows- und Unix-Netzwerken ist Kerberos eines der meist genutzten Protokolle für den Single Sign-on. Microsoft nutzt den Authentifizierungsdienst als Standardprotokoll in Windows-basierten Netzwerken seit der Windows-Server-Version 2000/2003 und der Client-Version Windows 2000/XP. Die Speicherung der Kerberos-Schlüssel erfolgt in Active Directory. Auch für weitere Betriebssysteme wie macOS, Linux und FreeBSD existieren Implementierungen.

Ablauf der Authentifizierung und beteiligte Komponenten

Um Kerberos zu nutzen, müssen sowohl der Client als auch der angesprochene Service in der Lage sein, mit den ausgestellten Tickets umzugehen. Es sind Softwarekomponenten auf dem Client-Rechner und beim Serviceanbieter notwendig. Darüber hinaus muss die vertrauenswürdige dritte Partei, der Kerberos-Server, existieren. Eine zentrale Komponente ist das Key Distribution Center (KDC) zur Generierung und Verwaltung von Schlüsseln der Kerberos-Sessions. Es besteht aus dem Authentication Server (AS) und dem Ticket Granting Server (TGS). Der Authentication Server übernimmt die Authentifizierung der Benutzer und stellt ihm die Ticket Granting Tickets (TGT) aus. Die Aufgabe des Ticket Granting Servers ist es, Tickets für den Zugriff auf die einzelnen Services auszustellen. Er erhält vom Benutzer ein TGT als Nachweis seiner Authentifizierung beim AS. Prinzipiell können AS und TGS auf verschiedenen Systemen installiert sein. Oft befinden sie sich jedoch auf dem gleichen Server.

Vereinfacht dargestellt ist der Ablauf einer Authentifizierung und Servicenutzung folgender:

  • der Client authentifiziert sich zunächst gegenüber dem AS mit seinen Benutzerdaten
  • der AS stellt dem Client ein TGT aus
  • um sich gegenüber einem Service zu authentifizieren, schickt der Client das TGT mit dem Servicenamen (Service Principal Name - SPN) an den Ticket Granting Server
  • das KDC bestätigt dem TGS die Zugriffserlaubnis auf den Service für den anfragenden Client
  • der TGS stellt das eigentliche Ticket für den zu nutzenden Service aus und sendet es an den Client
  • der Client sendet das Ticket an den Service, um seine Zugriffsberechtigung nachzuweisen
  • der Service nimmt das Ticket an und gewährt den Zugriff

Sowohl das TGT als auch das eigentliche Service-Ticket sind mit einem Zeitstempel versehen. Ist die Nutzungszeit eines Tickets überschritten, müssen neue Authentifizierungen am AS oder TGS erfolgen. In der Regel sind Service-Tickets über mehrere Stunden gültig. Alle Anfragen an den Service stellt der Client in dieser Zeit mit dem gleichen Service-Ticket. Die beteiligten Parteien gleichen ihre Systemzeiten über Dienste wie NTP (Network Time Protocol) ab.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist Just In Time Administration (JIT)?

Definition Just In Time Administration (JIT)

Was ist Just In Time Administration (JIT)?

Just In Time Administration ist eine ab dem Microsoft Betriebssystem Windows Server 2016 verfügbare Funktionalität. JIT erlaubt es, administrative Berechtigungen zeitabhängig zuzuweisen. Zusammen mit anderen Konzepten wie Just Enough Administration (JEA) lässt sich die Gefahr einer missbräuchlichen Nutzung von Administratorkennungen in Windows-Umgebungen einschränken. lesen

Was ist ein Pass-the-Hash-Angriff?

Definition Pass-the-Hash (PtH)

Was ist ein Pass-the-Hash-Angriff?

Pass-the-Hash ist eine Angriffsmethode, die den Hashwert eines Passworts zur Authentifizierung gegenüber einem System verwendet. Durch Schwachstellen im System oder in den Authentifizierungsprotokollen lässt sich der Hashwert mit Tools auslesen und zur Authentifizierung einsetzen. Nutzbar ist die Angriffsmethode in verschiedenen Betriebs­system­umgebungen wie Windows oder Linux. lesen

Kumulative Updates schließen kritische Sicherheitslücken

Microsoft Patchday August 2019

Kumulative Updates schließen kritische Sicherheitslücken

Microsoft hat zum Patchday im August 2019 Updates für einige, kritische Sicherheitslücken in nahezu allen Betriebssystemen veröffentlicht. Aktualisiert werden unter anderem der Internet Explorer, Microsoft Edge, sowie Bluetooth- und Netzwerkmodule von Windows 10 und Schwachstellen in schnurlosen Eingabegeräten wie Mäuse, Tastaturen und Stifte. lesen

Was ist Mimikatz?

Definition Mimikatz

Was ist Mimikatz?

Mimikatz ist ein Tool, mit dem sich unter Ausnutzung von Schwachstellen zwischengespeicherte Anmeldedaten eines Rechners mit Microsoft Windows Betriebssystem anzeigen lassen. Die Software ist frei verfügbar und kann von GitHub in einer 32-Bit- oder 64-Bit-Version heruntergeladen werden. lesen

Wichtige Windows-Updates sogar für Windows XP

Microsoft Patchday Mai 2019

Wichtige Windows-Updates sogar für Windows XP

Microsoft hat am Patchday im Mai 2019 für alle unterstützten Windows-Systeme Updates zur Verfügung gestellt. Dieses Mal wurde auch ein Update für Windows XP, Vista und Windows Server 2003 bereitgestellt. Die neue Seitenkanal-Malware ZombieLoad steht im Mai im Fokus der Updates. Wir geben einen Überblick. lesen

Mit Apache Metron Big-Data-Projekte schützen

Open-Source-Security-Lösung Apache Metron

Mit Apache Metron Big-Data-Projekte schützen

Big-Data-Projekte sind nicht nur für Firmen interessant, sondern auch für Cyberkriminelle. Apache Metron ist ein Open-Source-Projekt für ein Security-Analytics-Framework. Die Lösung besteht aus Modulen zum Parsen, Normalisie­ren und Anreichern von Daten mit internen und externen Bedrohungsinformationen und soll Big-Data-Projekte vor unbefugtem Zugriff schützen. lesen

Herausforderung in Active Directory erkennen und lösen

Erst Drittanbieter-Tools machen das AD praktikabel

Herausforderung in Active Directory erkennen und lösen

Microsoft Active Directory (AD) ist eine gut skalierbare Lösung zur Verwaltung von Benutzern und Ressourcen sowie für die Authentifizierung in einer Windows-Umgebung. Allerdings stoßen Systemadministratoren hier regelmäßig auf besondere Herausforderungen. Eine Vorabbetrachtung lohnt sich daher. lesen

In 14 Schritten zum perfekten Domänencontroller

Wege zum stabilen und schnellen Active Directory

In 14 Schritten zum perfekten Domänencontroller

Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 14 wichtigsten Schritte beim Installieren neuer Domänencontroller auf Basis von Windows Server 2012 R2 und Server 2016. lesen

Container-Sicherheit mit Twistlock

Schwachstellenanalyse für Container und Cloud, Teil 2

Container-Sicherheit mit Twistlock

Das Twistlock-Framework verspricht einen integrierten Ansatz, um Container-Sicherheit zu gewährleisten und zu überwachen. Denn im Gegensatz zum traditionellen Vorgehen klinkt sich Twistlock vollständig in die Continuous-Integration-Pipelines z. B. mit Jenkins ein und interagiert nativ mit Docker oder Kubernetes. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46268680 / Definitionen)