Zentrale Authentifizierung: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 27: | Zeile 27: | ||
=Suplicant über Authenticator gegen Radius and Ldap= | =Suplicant über Authenticator gegen Radius and Ldap= | ||
| + | *Es gibt 3 Rollen | ||
| + | *Server(Radius), Authenticator und Supplicant. | ||
| + | *Supplicant ist das Endgerät, das Zugang zum lokalen Netzwerk erhalten möchte | ||
| + | *Authenticator ist ein Switch, VPN-Gateway oder ein WLAN Accesspoint | ||
| + | *Supplicant wird vom Authenticator aufgefordert, seine Identifikationsdaten zu übermitteln. | ||
| + | *Der Authenticater übermittelt die Access Daten an den Server | ||
| + | *Der Server entscheidet ob der Supplicant Zugang zum Authenticator bekommt | ||
| + | *Oft wird dazu ein LDAP Server befragt. | ||
| + | *Wenn die Antwort positiv ist, schaltet der Authenticator den Zugang Frei | ||
| + | *Es wird das EAP - Extensible Authentication Protocol eingesetzt | ||
{{#drawio:zentrale-authentifizierung-4}} | {{#drawio:zentrale-authentifizierung-4}} | ||
Version vom 9. Januar 2023, 08:31 Uhr
Ldap
- Benutzer wird mit Password auf einem Ldap Server eingerichtet
- Benutzer wird einer gruppe zugewiesen (bsp. vpn-user)
- Client authentifiziert sich am Ldap Server
- Wenn Passwort und Gruppe stimmt wird er Zugang gewährt.
Kerberos
- Benutzer fordert vom Key Distribution Center (KDC) ein Ticket Granting Ticket (TGT) an.
- TGT wird dem Benutzer ausgestellt und verschlüsselt übetragen. Computer sichert TGT im lokalen Cache.
- Um einen Dienst, der Kerberos unterstützt, benutzen zu können, fordert der Client ein weiteres Ticket an.
- Der KDC übermittelt das Service Ticket.
- Dieses Ticket sendet der Client dann an den Dienst, der überprüft, ob er dem Client den Zugriff gestatten soll.
- Server vereinbart mit dem Client ein Sitzung und der Benutzer erhält die vorgesehenen Berechtigungen.
Ldap und Kerberos (ADS)
- Benutzer fordert vom Key Distribution Center (KDC) ein Ticket Granting Ticket (TGT) an.
- TGT wird dem Benutzer ausgestellt und verschlüsselt übetragen. Computer sichert TGT im lokalen Cache.
- Um einen Dienst, der Kerberos unterstützt, benutzen zu können, fordert der Client ein weiteres Ticket an.
- Der KDC übermittelt das Service Ticket.
- Dieses Ticket sendet der Client dann an den Dienst, der überprüft, ob er dem Client den Zugriff gestatten soll.
- Server vereinbart mit dem Client ein Sitzung.
- Client authentifiziert sich am Ldap Server
- Wenn Gruppe stimmt wird er Zugang gewährt.
Suplicant über Authenticator gegen Radius and Ldap
- Es gibt 3 Rollen
- Server(Radius), Authenticator und Supplicant.
- Supplicant ist das Endgerät, das Zugang zum lokalen Netzwerk erhalten möchte
- Authenticator ist ein Switch, VPN-Gateway oder ein WLAN Accesspoint
- Supplicant wird vom Authenticator aufgefordert, seine Identifikationsdaten zu übermitteln.
- Der Authenticater übermittelt die Access Daten an den Server
- Der Server entscheidet ob der Supplicant Zugang zum Authenticator bekommt
- Oft wird dazu ein LDAP Server befragt.
- Wenn die Antwort positiv ist, schaltet der Authenticator den Zugang Frei
- Es wird das EAP - Extensible Authentication Protocol eingesetzt
![Bearbeiten](javascript:editDrawio("653124879", "zentrale-authentifizierung-1.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("947434420", "zentrale-authentifizierung-2.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("1279039990", "zentrale-authentifizierung-3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}
![Bearbeiten](javascript:editDrawio("191905579", "zentrale-authentifizierung-4.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}