Skip to content

Kerberos Basics

by Sascha Frantzke on März 3rd, 2016

Ich habe zwei Posts in Bearbeitung in denen ich etwas über Citrix NetScaler und Kerberos erklären möchte. Aber zuerst möchte ich etwas zu den Kerberos Basics schreiben.

Wer hat’s erfunden?

  • Nicht die Schweizer, sondern Steve Miller und Clifford Neumann am MIT.

Wann wurde es erfunden?

  • Die erste Version wurde ab 1978 vorerst nur intern am MIT eingesetzt.

Wozu dient es?

  • Kerberos als verteilter Authentifizierungsdienst arbeitet ohne die Übertragung des Benutzerpasswortes. Unter anderem dadurch gilt es als sehr sicherer Authentifizierungsdienst.

Woher kommt der Name?

Doch genug geschwafelt, lasst uns anfangen 🙂

Der erste Schritt in der Kerberos Welt ist immer die Erstauthentifizierung und damit das Ticket Granting Ticket. Um dieses zu erlangen, muss unser Test-Client per DNS das KDC (Key Distribution Center) finden.

  • Der Client fordert  für unseren Testbenutzer M.Müller ein TGT (Ticket Granting Ticket) an.
  • Dafür schickt der Client zuerst einen AS-Req (verschlüsselt mit dem User-Secret von M.Müller) an das KDC.
  • Das KDC (zum Beispiel unser Active Directory Domänencontroller) validiert den AS-Req und antwortet mit einem AS-Rep. Dieser ist wieder mit dem Secret von M.Müller verschlüsselt und enthält das TGT.
  • Der Client entschlüsselt den AS-REP mit dem Secret von M.Müller und speichert das TGT im lokalen, sicheren Ticket-Speicher ab.

Als nächstes möchte M.Müller gerne eine Datei vom zentralen File-Server öffnen.

  • Der Client erzeugt ein TGS-Req und übermittelt den Request an das KDC. Der TGS-Req enthält das vorher gespeicherte TGT und dient so zur Authentifizierung von M.Müller.
  • Das KDC wertet den TGS-Req aus und kann so ein Service Ticket für den angefragten Service erzeugen. Das Service Ticket wird mit dem Secret des Services (hier des Computer-Kontos unsers File-Servers) verschlüsselt.
  • Das KDC übermittelt dieses Service Ticket als TGS-Rep an den Client.
  • Der Client speichert das Service Ticket wieder im lokalen Ticket Speicher und sendet es ab jetzt mit jeder Anfrage an den File-Server.
  • Der File-Server kann das Service Ticket mit dem eigenen Secret entschlüsseln und damit verifizieren.

Soweit die Basics. In den folgenden Artikeln möchte ich darauf eingehen wie wir diese Grundlagen nutzen können, um im Zusammenspiel mit NetScaler eine Kerberos Authentifizierung auszuführen.

From → Sicherheit

2 Comments

Trackbacks & Pingbacks

  1. Kerberos Verkehr Im Netzwerk-Trace |
  2. Setup: NetScaler Kerberos Impersonation |

Comments are closed.