https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Authentifizierungsarten_am_Beispiel_ssh_Kerberos_SSOAuthentifizierungsarten am Beispiel ssh Kerberos SSO - Versionsgeschichte2026-06-29T06:05:20ZVersionsgeschichte dieser Seite in Xinux WikiMediaWiki 1.35.1https://wiki.ixheim.de/index.php?title=Authentifizierungsarten_am_Beispiel_ssh_Kerberos_SSO&diff=57384&oldid=prevThomas.will: Die Seite wurde neu angelegt: „;Verbindungsaufbau *Der Client baut eine verschlüsselte SSH-Verbindung zum Server auf und startet die Authentifizierung. ;Legitimation des Servers *Verfahren…“2024-10-08T16:46:12Z<p>Die Seite wurde neu angelegt: „;Verbindungsaufbau *Der Client baut eine verschlüsselte SSH-Verbindung zum Server auf und startet die Authentifizierung. ;Legitimation des Servers *Verfahren…“</p>
<p><b>Neue Seite</b></p><div>;Verbindungsaufbau<br />
*Der Client baut eine verschlüsselte SSH-Verbindung zum Server auf und startet die Authentifizierung.<br />
<br />
;Legitimation des Servers<br />
*Verfahren hier unrelevant.<br />
<br />
;Übertragung des Benutzernamens<br />
*Der Client übermittelt den Benutzernamen, unter dem er sich anmelden möchte.<br />
<br />
;Kerberos-Ticket-Anfrage<br />
*Der Client muss bereits ein **Ticket Granting Ticket (TGT)** besitzen, das beim **Kerberos Key Distribution Center (KDC)** ausgestellt wurde.<br />
*Falls der Client noch kein TGT besitzt, muss er sich zuerst beim KDC anmelden, um das TGT zu erhalten (z. B. durch Eingabe des Passworts).<br />
*Mit dem vorhandenen TGT fordert der Client ein **Service-Ticket** vom KDC für den SSH-Server an.<br />
<br />
;Prüfung der Authentifizierungsquelle in /etc/nsswitch.conf<br />
*Der Server überprüft anhand der Datei /etc/nsswitch.conf, wo er die Benutzerdaten suchen soll (z. B. `files` oder `ldap`).<br />
*Kerberos wird für die Authentifizierung genutzt, aber die Benutzerinformationen können lokal oder über LDAP abgefragt werden.<br />
<br />
;Kerberos-Authentifizierung<br />
*Der Client sendet das vom KDC ausgestellte **Service-Ticket** an den SSH-Server.<br />
*Der SSH-Server validiert das Service-Ticket, indem er es beim **Kerberos-Server** überprüft.<br />
*Wenn das Ticket gültig ist, wird die Authentifizierung als erfolgreich betrachtet.<br />
<br />
;Prüfung durch PAM<br />
*Nach erfolgreicher Kerberos-Authentifizierung kann PAM für weitere Prüfungen wie Zugriffsrechte und zusätzliche Sicherheitskontrollen verwendet werden.<br />
*PAM-Module (Pluggable Authentication Modules) können sicherstellen, dass der Benutzer zusätzliche Richtlinien erfüllt, bevor die Session gestartet wird.<br />
<br />
;Entscheidung<br />
*Erfolgreiche Authentifizierung:<br />
**Wenn das Service-Ticket gültig ist und die PAM-Prüfungen bestanden werden, wird der Zugriff gewährt und eine SSH-Sitzung eingerichtet.<br />
*Fehlgeschlagene Authentifizierung:<br />
**Wenn das Ticket ungültig ist oder die PAM-Prüfungen fehlschlagen, wird der Zugriff verweigert.<br />
<br />
;Session-Erstellung<br />
*Nach erfolgreicher Authentifizierung und bestandenen PAM-Prüfungen wird eine SSH-Session eröffnet, und der Benutzer kann auf den Server zugreifen.<br />
<br />
;Protokollierung<br />
*Der gesamte Authentifizierungsvorgang wird über journal protokolliert und kann über journalctl eingesehen werden.</div>Thomas.will