Überblick über Kerberos
Kerberos ist ein Protokoll, das mithilfe einer vertrauenswürdigen dritten Partei die sichere Kommunikation über ein TCP/IP-Netzwerk ermöglicht. Dabei kommen für die sichere Netzwerkauthentifizierung anstelle von Textkennwörtern verschlüsselte Tickets zum Einsatz.
Ein Benutzer meldet sich bei einer Workstation mit einem Kennwort (Verschlüsselung) an, das auch einer zuverlässigen Drittpartei bekannt ist, dem Key Distribution Center (KDC). Das KDC authentifiziert den Benutzer und gibt ein Teilnehmerticket (TGT) aus, mit dem der Benutzer Dienstnutzungstickets anfordern kann. Die Dienstnutzungstickets sind für den Zugriff auf kerberisierte Server während der Gültigkeitsdauer des Teilnehmertickets erforderlich. Kerberos-Verbindungen können nicht nur zum Authentifizieren des Clients, sondern auch zum Authentifizieren des Servers und Verschlüsseln des Datenstroms verwendet werden. Das Kerberos-Sicherheitskonzept umfasst das Zusammenwirken verschiedener Komponenten:
- Das KDC (Key Distribution Center, auch Schlüsselzentrale genannt), das die Benutzer authentifiziert und Tickets für kerberisierte Dienste ausgibt.
- Die kerberisierten Serveranwendungen, auf die Benutzer zugreifen möchten. (Kerberisierte Server können Serverdaemons sein, die auf Hostrechnern ausgeführt werden, z. B. telnetd oder ftpd.)
- Die kerberisierten Clientanwendungen, die eine Authentifizierung anfordern und Benutzern den Zugriff auf Serveranwendungen ermöglichen. Da die meisten Reflection-Anwendungen Kerberos-Clientdienste beinhalten, werden sie in diesem Dokument zusammen als Reflection Kerberos-Client bezeichnet. (Sie haben die Möglichkeit, die Kerberos-Einstellungen mit Reflection Kerberos-Manager für den Reflection Kerberos-Client zu konfigurieren und zu verwalten. Dies ist jedoch nicht erforderlich.)
Datenverschlüsselungsstandards
Reflection Kerberos unterstützt die folgenden Datenverschlüsselungsstandards:
- DES (56-Bit)
- TripleDES (168-Bit)
|