🛡️ Kerberos – Sicheres Authentifizierungsprotokoll für Netzwerke
#Kerberos ist ein modernes Authentifizierungsprotokoll, das von MIT entwickelt wurde und heute vor allem in Windows-Domänen (Active Directory) und Unix-basierten Systemen eingesetzt wird. Es ermöglicht sichere Anmeldungen in Netzwerken, ohne dass Passwörter durchs Netz geschickt werden.
📌 Wie funktioniert Kerberos?
Kerberos basiert auf dem Prinzip des „Tickets“. Benutzer erhalten nach der Anmeldung ein kryptographisches Ticket, das ihre Identität im Netzwerk bestätigt – ähnlich einem Ausweis.
Der Ablauf in Kurzform:
- 👤 Anmeldung: Der Benutzer meldet sich mit Benutzername und Passwort am System an.
- 🧾 Ticket Granting Ticket (TGT): Der Key Distribution Center (KDC) prüft die Identität und vergibt ein TGT.
- 🎟️ Zugriff auf Dienste: Möchte der Benutzer z. B. auf einen Server oder Drucker zugreifen, wird mit dem TGT ein Zugriffsticket angefordert.
- ✅ Zugang: Mit diesem Ticket kann der Benutzer auf den gewünschten Netzwerkdienst zugreifen – ohne sich erneut anzumelden.
💡 Vorteil: Nach der ersten Anmeldung laufen alle weiteren Authentifizierungen automatisch und sicher im Hintergrund.
🧠 Kerberos-Komponenten
| Komponente | Beschreibung |
|---|---|
| KDC (Key Distribution Center) | Zentrale Instanz, bestehend aus zwei Teilen: Authentication Service (AS) und Ticket Granting Service (TGS) |
| TGT (Ticket Granting Ticket) | Erstes Ticket, das der Benutzer nach erfolgreicher Anmeldung erhält |
| Service Ticket | Ticket für konkrete Netzwerkdienste |
| Client | Der Benutzer oder sein Endgerät |
| Server | Der Dienst (z. B. Datei- oder Druckserver), auf den zugegriffen wird |
🔐 Sicherheit & Vorteile
- Keine Passwörter im Netz: Nur verschlüsselte Tickets werden übertragen
- Single Sign-On (SSO): Einmal anmelden, überall Zugriff
- Zentrale Kontrolle: Benutzer und Dienste werden über Active Directory verwaltet
- Zeitbasierter Zugriff: Tickets sind zeitlich begrenzt gültig
⚠️ Voraussetzungen & Einschränkungen
| Voraussetzung | Erklärung |
|---|---|
| 🎯 Zeit-Synchronisierung | Client und Server müssen exakt gleiche Uhrzeit haben |
| 🧩 Domänenmitgliedschaft | Kerberos funktioniert in Windows-Umgebungen nur innerhalb einer Domäne |
| 🔒 Vertrauensstellung | Für domänenübergreifenden Zugriff notwendig |
🆚 Vergleich zu NTLM
| Merkmal | Kerberos | NTLM |
|---|---|---|
| Sicherheit | Stark, Ticket-basiert | Schwächer, Hash-basiert |
| Passwort-Übertragung | Niemals | Indirekt via Hash |
| Performance | Effizient durch SSO | Langsam bei vielen Auth-Anfragen |
| Modernität | Standard in AD seit Windows 2000 | Veraltet, nur noch Fallback |
🧭 Wann wird Kerberos verwendet?
- In Windows-Domänen (Active Directory)
- Bei Single Sign-On-Lösungen
- In vielen Linux/Unix-Umgebungen (z. B. NFS, SSH mit Kerberos)
- In Cloud-Diensten mit Kerberos-Integration (z. B. Azure AD Hybrid)
📚 Siehe auch
- NTLM – älteres Authentifizierungsprotokoll von Microsoft
- Active Directory und Kerberos
- SSO (Single Sign-On)
Werbung
