Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- kerberos [2025/04/06 11:07]
jango [Links]
+++ kerberos [2025/04/23 12:55] (aktuell)
jango [Hauptkomponenten]
@@ Zeile 1: / Zeile 1: @@
-Kerberos ist ein [[netzwerkprotokolle|Protokoll]] zur **Authentifizierung** in verteilten [[netzwerk|Computernetzwerken]] um die Sicherheit der Kommunikation zwischen Benutzern und Ressourcen zu gewährleisten. Die Authentifizierung in [[Active Directory]] basiert auf Kerberos.
+Kerberos ist ein [[netzwerkprotokolle|Protokoll]] zur **Authentifizierung** in verteilten [[netzwerk|Computernetzwerken]] um die Sicherheit der Kommunikation zwischen Benutzern und Ressourcen zu gewährleisten. Die Authentifizierung in [[Active Directory]] basiert auf Kerberos. Das Kerberos-Protokoll definiert, wie Clients mit Diensten in einem Netz interagieren und sich authentifizieren. Clients, die Zugang wünschen, erhalten Tickets von einem Kerberos Key Distribution Centre (KDC) und legen diese Tickets allen Servern vor, mit denen sie eine Verbindung herstellen wollen. Die Tickets stellen die Netzwerkanmeldeinformationen des Clients dar und legen fest, ob der Zugriff auf eine bestimmte Ressource erlaubt ist. Das Kerberos-Protokoll geht davon aus, dass die Interaktionen zwischen Client und Server in offenen, ungesicherten Netzen stattfinden, und verfügt über Komponenten, die diesem Umstand entgegenwirken.
 <box green>[[https://datatracker.ietf.org/doc/html/rfc4120/|RFC 4120]]</box>
 Das Kerberos-Protokoll basiert auf einem Client-Server-Modell und verwendet [[kryptographie#symmetrische_verschluesselung|symmetrische Verschlüsselung]] und Ticket-basierte Authentifizierung.
 =====Hauptkomponenten=====
@@ Zeile 14: / Zeile 15: @@
   * **Sitzungsschlüssel**: Sobald der Benutzer das Service Ticket erhält, kann er den Sitzungsschlüssel extrahieren. Der Sitzungsschlüssel wird für die Verschlüsselung der Kommunikation zwischen dem Benutzer und dem Dienst verwendet.
+=====Kerberos Constrained Delegation (KCD)=====
+Kerberos Constrained Delegation ist eine Erweiterung der Microsoft Windows Server Kerberos-Authentifizierung. Sie bietet einen Mechanismus zur Beschränkung der zusätzlichen Dienste, auf die ein Kerberos-authentifizierter Benutzer oder Dienst Zugriff anfordern kann. In einer nicht eingeschränkten Windows Server Kerberos-Umgebung kann ein ordnungsgemäß authentifizierter Dienst den Zugriff auf jeden anderen Dienst innerhalb derselben Domäne delegieren. Wenn eingeschränkte Delegation verwendet wird, können Administratoren Konten so einschränken, dass sie nur an erlaubte Dienste delegieren. Als Ergebnis können Vertrauensgrenzen konfiguriert werden, um die Weitergabe von Kerberos-authentifizierten Konten einzuschränken, ohne auf die Vorteile der Kerberos-Authentifizierung verzichten zu müssen. KEMP LoadMaster unterstützt KCD über das Edge Security Pack (ESP).
 =====Authentifizierung=====
@@ Zeile 102: / Zeile 106: @@
   * Ticket Forging (Golden Ticket / Silver Ticket): Wenn Angreifer den KRBTGT-Key eines DC bekommt, kann er beliebige TGTs (Golden Ticket) oder TGS (Silver Ticket) ausstellen.
+=====KKDCP=====
+Kerberos Key Distribution Center (KDC) Proxy Protocol
+{{ms-kkdcp.pdf}}
 =====Links=====

MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge