Skip to content
Frau am Laptop - header blau
03.20161 min Lesezeit

Die Basics von Kerberos

Gern möchten wir Ihnen etwas über Citrix NetScaler und Kerberos erklären. Vorher erklären wir Ihnen hier die Basics.

Wer hat’s erfunden?

  • Nicht die Schweizer, sondern Steve Miller und Clifford Neumann am MIT.

 

Wann wurde Kerberos erfunden?

  • Die erste Version wurde ab 1978 vorerst nur intern am MIT eingesetzt.

 

Wozu dient Kerberos?

  • Kerberos als verteilter Authentifizierungsdienst arbeitet ohne die Übertragung des Benutzerpasswortes. Unter anderem dadurch gilt es als sehr sicherer Authentifizierungsdienst.

 

Woher kommt der Name Kerberos?

Doch genug geschwafelt, lassen Sie uns anfangen!

 

Der erste Schritt in der Kerberos Welt ist immer die Erstauthentifizierung und damit das Ticket Granting Ticket. Um dieses zu erlangen, muss unser Test-Client per DNS das KDC (Key Distribution Center) finden.

  • Der Client fordert  für unseren Testbenutzer M.Müller ein TGT (Ticket Granting Ticket) an.
  • Dafür schickt der Client zuerst einen AS-Req (verschlüsselt mit dem User-Secret von M.Müller) an das KDC.
  • Das KDC (zum Beispiel unser Active Directory Domänencontroller) validiert den AS-Req und antwortet mit einem AS-Rep. Dieser ist wieder mit dem Secret von M.Müller verschlüsselt und enthält das TGT.
  • Der Client entschlüsselt den AS-REP mit dem Secret von M.Müller und speichert das TGT im lokalen, sicheren Ticket-Speicher ab.

Als nächstes möchte M.Müller gerne eine Datei vom zentralen File-Server öffnen.

  • Der Client erzeugt ein TGS-Req und übermittelt den Request an das KDC. Der TGS-Req enthält das vorher gespeicherte TGT und dient so zur Authentifizierung von M.Müller.
  • Das KDC wertet den TGS-Req aus und kann so ein Service Ticket für den angefragten Service erzeugen. Das Service Ticket wird mit dem Secret des Services (hier des Computer-Kontos unsers File-Servers) verschlüsselt.
  • Das KDC übermittelt dieses Service Ticket als TGS-Rep an den Client.
  • Der Client speichert das Service Ticket wieder im lokalen Ticket Speicher und sendet es ab jetzt mit jeder Anfrage an den File-Server.
  • Der File-Server kann das Service Ticket mit dem eigenen Secret entschlüsseln und damit verifizieren.

Soweit die Basics.

In den folgenden Artikeln gehen wir darauf eingehen, wie wir diese Grundlagen nutzen können, um im Zusammenspiel mit NetScaler eine Kerberos Authentifizierung auszuführen.

KOMMENTARE

VERWANDTE ARTIKEL