Keberos ADS Squid: Unterschied zwischen den Versionen

Was ist Kerberos?

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Sicherheit in Computernetzwerken bietet. Es verwendet ein Ticket-basiertes System, um Benutzern und Diensten eine sichere Identität zuzuweisen. Kerberos wird häufig in Umgebungen wie Active Directory (AD) eingesetzt.

Funktionsweise von Kerberos

• KDC (Key Distribution Center): Das Herzstück von Kerberos ist der KDC, der aus zwei Komponenten besteht:
  • Authentication Server (AS): Stellt Benutzern ein Ticket Granting Ticket (TGT) aus.
  • Ticket Granting Server (TGS): Gewährt Benutzern Service Tickets für den Zugriff auf bestimmte Dienste.

• Tickets:
  • TGT (Ticket Granting Ticket): Ein Ticket, das es einem Benutzer ermöglicht, Service Tickets für andere Dienste anzufordern.
  • Service Ticket: Ein Ticket, das für den Zugriff auf spezifische Dienste, wie z.B. Squid, verwendet wird.

1. Erhalt des Ticket Granting Ticket (TGT)

• Bei der ersten Anmeldung des Benutzers wird ein TGT vom Kerberos Authentication Server (AS) ausgestellt.
• Das TGT ist ein einmaliges Ticket, das die Identität des Benutzers für eine bestimmte Zeit bestätigt.

2. Anfordern eines Service Tickets

• Wenn der Benutzer auf einen spezifischen Dienst (z.B. einen Proxy-Server wie Squid) zugreifen möchte, verwendet er das TGT, um ein Service Ticket vom Ticket Granting Server (TGS) anzufordern.

3. Erhalt des Service Tickets

• Der TGS überprüft das TGT und die Berechtigungen des Benutzers. Wenn alles in Ordnung ist, stellt der TGS ein Service Ticket für den Proxy-Server aus.
• Dieses Service Ticket wird an den Benutzer zurückgegeben.

4. Verwendung des Service Tickets

• Der Benutzer verwendet das Service Ticket, um sich beim Dienst (z.B. beim Proxy-Server) zu authentifizieren.
• Das Service Ticket enthält Informationen über den Benutzer und die Berechtigungen für den Dienst.

5. Ablauf und Erneuerung

• Service Tickets haben eine begrenzte Lebensdauer. Nach Ablauf muss der Benutzer ein neues Ticket anfordern.

Warum benötigt der Proxy ein Ticket?

• Der Proxy-Server benötigt ein Ticket, um sicherzustellen, dass nur autorisierte Benutzer auf die über den Proxy bereitgestellten Dienste zugreifen können.
• Ein gültiges Service Ticket bestätigt die Identität des Benutzers und zeigt, dass er authentifiziert ist.
• Durch die Verwendung von Kerberos-Tickets kann der Proxy-Server den Zugriff auf Ressourcen steuern und sicherstellen, dass nur berechtigte Benutzer die Dienste nutzen.

Kerberos in Active Directory (AD)

• AD verwendet Kerberos zur Authentifizierung von Benutzern und Computern im Netzwerk.
• Benutzer, die sich bei einem AD-Domänencontroller anmelden, erhalten ein TGT, das sie verwenden können, um Service Tickets für verschiedene Dienste in der Domäne zu erhalten.

Kerberos und Squid

• Squid ist ein Proxy-Server, der Kerberos für die Authentifizierung von Benutzern verwenden kann.
• Um Kerberos mit Squid zu integrieren, sind einige Konfigurationen erforderlich.

Wichtige Programme und Dateien

• kinit: Ein Kommandozeilenwerkzeug, das verwendet wird, um ein Kerberos-Ticket zu erhalten.
• klist: Ein Tool zur Anzeige von Kerberos-Tickets, die in einem Ticket-Cache gespeichert sind.
• kdestroy: Ein Tool zum Löschen von Kerberos-Tickets aus dem Cache.
• /etc/krb5.conf: Die Konfigurationsdatei für Kerberos, die die Realms und KDC-Informationen enthält.
• /etc/squid/squid.conf: Die Hauptkonfigurationsdatei für Squid, in der Kerberos- und Authentifizierungseinstellungen festgelegt werden.

Konfiguration von Kerberos und Squid

• In der Datei /etc/krb5.conf sollten die Realms und KDC-Server konfiguriert sein.
• In der Squid-Konfigurationsdatei /etc/squid/squid.conf müssen die Kerberos-Authentifizierungsmechanismen und die Keytab-Datei angegeben werden.

Fazit

Kerberos bietet eine sichere Möglichkeit zur Authentifizierung von Benutzern in Netzwerken, insbesondere in Kombination mit Active Directory und Proxy-Servern wie Squid. Durch die richtige Konfiguration dieser Komponenten kann ein sicheres Netzwerkumfeld geschaffen werden.

Erklärung der Kerberos-Befehle und Ausgaben

Befehl: kinit

• kinit administrator:
  • Dieser Befehl wird verwendet, um ein Kerberos-Ticket für den Principal administrator@LAB34.LINUGGS.DE zu erhalten.
  • Der Benutzer wird zur Eingabe des Passworts aufgefordert. Nach erfolgreicher Eingabe wird ein Ticket Granting Ticket (TGT) für den Benutzer erstellt.

Befehl: klist

• klist:
  • Dieser Befehl zeigt die im Kerberos-Ticket-Cache gespeicherten Tickets an.
  • Er zeigt, welche Tickets aktuell für den Benutzer gültig sind und deren Ablaufdaten.

Ausgabe von klist

• Ticket cache: FILE:/tmp/krb5cc_0:
  • Dies gibt an, wo der Ticket-Cache gespeichert ist. In diesem Fall ist es die Datei /tmp/krb5cc_0.

• Default principal: administrator@LAB34.LINUGGS.DE:
  • Dies zeigt den Standard-Prinzipal an, für den das Ticket erstellt wurde.

• Valid starting / Expires / Service principal:
  • Diese Spalten zeigen die folgenden Informationen an:
    • Valid starting - Das Datum und die Uhrzeit, zu der das Ticket gültig wurde.
    • Expires - Das Datum und die Uhrzeit, zu der das Ticket abläuft.
    • Service principal - Der Service, für den das Ticket gilt, in diesem Fall krbtgt/LAB34.LINUGGS.DE@LAB34.LINUGGS.DE, das für den Kerberos Ticket Granting Ticket Service (TGS) steht.

• renew until:
  • Dies gibt an, bis wann das Ticket erneuert werden kann. In diesem Fall kann das Ticket bis zum 10/03/2024 19:50:54 erneuert werden.

Zusammenfassung

• Durch die Verwendung von kinit erhält der Benutzer ein Kerberos-Ticket.
• klist ermöglicht die Überprüfung des Ticket-Status und der Gültigkeitszeiträume.
• Diese Befehle sind entscheidend für die Verwaltung von Kerberos-Authentifizierungsprozessen.

Erklärung des Befehls und der Ausgabe

Befehl: klist -k

• klist -k /etc/squid/PROXY.keytab:
  • Dieser Befehl wird verwendet, um den Inhalt einer Keytab-Datei anzuzeigen.
  • Eine Keytab-Datei speichert Kerberos-Schlüssel für verschiedene Principals und wird häufig verwendet, um die Authentifizierung von Diensten zu ermöglichen, ohne dass Passwörter gespeichert werden müssen.

Ausgabe von klist -k

• Keytab name: FILE:/etc/squid/PROXY.keytab:
  • Dies zeigt den Pfad zur Keytab-Datei an, die untersucht wird.

• KVNO Principal:
  • Diese Spalten geben an, dass die folgende Tabelle die Key Version Number (KVNO) und die zugehörigen Principals zeigt.

• KVNO (Key Version Number):
  • Die Zahl zeigt die Version des Schlüssels an, die für den Principal verwendet wird.
  • Ein höherer KVNO bedeutet in der Regel, dass der Schlüssel aktualisiert wurde.

• Principal:
  • Ein Principal ist der Name eines Benutzers oder Dienstes, der in der Kerberos-Datenbank registriert ist.
  • Es gibt verschiedene Principals in der Ausgabe, einschließlich:
    • PROXYSRV-HTTP$@LAB34.LINUGGS.DE: Ein Principal für einen HTTP-Dienst, wahrscheinlich für interne Proxy-Dienste.
    • HTTP/proxy.lab34.linuggs.de@LAB34.LINUGGS.DE: Ein Principal für den Proxy-Server, der Kerberos-Authentifizierung verwendet.
    • host/proxy.lab34.linuggs.de@LAB34.LINUGGS.DE: Ein Principal für den Hostnamen des Proxy-Servers.
    • PROXY$@LAB34.LINUGGS.DE: Ein weiterer Principal, möglicherweise für einen bestimmten Dienst oder Benutzer.

• Die Anzahl der Einträge zeigt, wie oft jeder Principal in der Keytab-Datei vorhanden ist.

Zusammenfassung

Der Befehl klist -k wird verwendet, um die Kerberos-Principal-Einträge in einer Keytab-Datei anzuzeigen, die für die Authentifizierung von Diensten wie Squid verwendet werden. Die Ausgabe bietet Informationen über die Principals, ihre Versionen und deren Verwendung innerhalb des Kerberos-Systems.