Keberos ADS Squid: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 7: | Zeile 7: | ||
** '''Ticket Granting Server (TGS)''': Gewährt Benutzern Service Tickets für den Zugriff auf bestimmte Dienste. | ** '''Ticket Granting Server (TGS)''': Gewährt Benutzern Service Tickets für den Zugriff auf bestimmte Dienste. | ||
| − | *'''Tickets''': | + | * '''Tickets''': |
** '''TGT (Ticket Granting Ticket)''': Ein Ticket, das es einem Benutzer ermöglicht, Service Tickets für andere Dienste anzufordern. | ** '''TGT (Ticket Granting Ticket)''': Ein Ticket, das es einem Benutzer ermöglicht, Service Tickets für andere Dienste anzufordern. | ||
** '''Service Ticket''': Ein Ticket, das für den Zugriff auf spezifische Dienste, wie z.B. Squid, verwendet wird. | ** '''Service Ticket''': Ein Ticket, das für den Zugriff auf spezifische Dienste, wie z.B. Squid, verwendet wird. | ||
| + | |||
| + | === 1. Erhalt des Ticket Granting Ticket (TGT) === | ||
| + | * Bei der ersten Anmeldung des Benutzers wird ein TGT vom Kerberos Authentication Server (AS) ausgestellt. | ||
| + | * Das TGT ist ein einmaliges Ticket, das die Identität des Benutzers für eine bestimmte Zeit bestätigt. | ||
| + | |||
| + | === 2. Anfordern eines Service Tickets === | ||
| + | * Wenn der Benutzer auf einen spezifischen Dienst (z.B. einen Proxy-Server wie Squid) zugreifen möchte, verwendet er das TGT, um ein Service Ticket vom Ticket Granting Server (TGS) anzufordern. | ||
| + | |||
| + | === 3. Erhalt des Service Tickets === | ||
| + | * Der TGS überprüft das TGT und die Berechtigungen des Benutzers. Wenn alles in Ordnung ist, stellt der TGS ein Service Ticket für den Proxy-Server aus. | ||
| + | * Dieses Service Ticket wird an den Benutzer zurückgegeben. | ||
| + | |||
| + | === 4. Verwendung des Service Tickets === | ||
| + | * Der Benutzer verwendet das Service Ticket, um sich beim Dienst (z.B. beim Proxy-Server) zu authentifizieren. | ||
| + | * Das Service Ticket enthält Informationen über den Benutzer und die Berechtigungen für den Dienst. | ||
| + | |||
| + | === 5. Ablauf und Erneuerung === | ||
| + | * Service Tickets haben eine begrenzte Lebensdauer. Nach Ablauf muss der Benutzer ein neues Ticket anfordern. | ||
== Kerberos in Active Directory (AD) == | == Kerberos in Active Directory (AD) == | ||
Version vom 2. Oktober 2024, 17:06 Uhr
Was ist Kerberos?
Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Sicherheit in Computernetzwerken bietet. Es verwendet ein Ticket-basiertes System, um Benutzern und Diensten eine sichere Identität zuzuweisen. Kerberos wird häufig in Umgebungen wie Active Directory (AD) eingesetzt.
Funktionsweise von Kerberos
- KDC (Key Distribution Center): Das Herzstück von Kerberos ist der KDC, der aus zwei Komponenten besteht:
- Authentication Server (AS): Stellt Benutzern ein Ticket Granting Ticket (TGT) aus.
- Ticket Granting Server (TGS): Gewährt Benutzern Service Tickets für den Zugriff auf bestimmte Dienste.
- Tickets:
- TGT (Ticket Granting Ticket): Ein Ticket, das es einem Benutzer ermöglicht, Service Tickets für andere Dienste anzufordern.
- Service Ticket: Ein Ticket, das für den Zugriff auf spezifische Dienste, wie z.B. Squid, verwendet wird.
1. Erhalt des Ticket Granting Ticket (TGT)
- Bei der ersten Anmeldung des Benutzers wird ein TGT vom Kerberos Authentication Server (AS) ausgestellt.
- Das TGT ist ein einmaliges Ticket, das die Identität des Benutzers für eine bestimmte Zeit bestätigt.
2. Anfordern eines Service Tickets
- Wenn der Benutzer auf einen spezifischen Dienst (z.B. einen Proxy-Server wie Squid) zugreifen möchte, verwendet er das TGT, um ein Service Ticket vom Ticket Granting Server (TGS) anzufordern.
3. Erhalt des Service Tickets
- Der TGS überprüft das TGT und die Berechtigungen des Benutzers. Wenn alles in Ordnung ist, stellt der TGS ein Service Ticket für den Proxy-Server aus.
- Dieses Service Ticket wird an den Benutzer zurückgegeben.
4. Verwendung des Service Tickets
- Der Benutzer verwendet das Service Ticket, um sich beim Dienst (z.B. beim Proxy-Server) zu authentifizieren.
- Das Service Ticket enthält Informationen über den Benutzer und die Berechtigungen für den Dienst.
5. Ablauf und Erneuerung
- Service Tickets haben eine begrenzte Lebensdauer. Nach Ablauf muss der Benutzer ein neues Ticket anfordern.
Kerberos in Active Directory (AD)
- AD verwendet Kerberos zur Authentifizierung von Benutzern und Computern im Netzwerk.
- Benutzer, die sich bei einem AD-Domänencontroller anmelden, erhalten ein TGT, das sie verwenden können, um Service Tickets für verschiedene Dienste in der Domäne zu erhalten.
Kerberos und Squid
- Squid ist ein Proxy-Server, der Kerberos für die Authentifizierung von Benutzern verwenden kann.
- Um Kerberos mit Squid zu integrieren, sind einige Konfigurationen erforderlich.
Wichtige Programme und Dateien
- kinit: Ein Kommandozeilenwerkzeug, das verwendet wird, um ein Kerberos-Ticket zu erhalten.
- klist: Ein Tool zur Anzeige von Kerberos-Tickets, die in einem Ticket-Cache gespeichert sind.
- kdestroy: Ein Tool zum Löschen von Kerberos-Tickets aus dem Cache.
- /etc/krb5.conf: Die Konfigurationsdatei für Kerberos, die die Realms und KDC-Informationen enthält.
- /etc/squid/squid.conf: Die Hauptkonfigurationsdatei für Squid, in der Kerberos- und Authentifizierungseinstellungen festgelegt werden.
Konfiguration von Kerberos und Squid
- In der Datei /etc/krb5.conf sollten die Realms und KDC-Server konfiguriert sein.
- In der Squid-Konfigurationsdatei /etc/squid/squid.conf müssen die Kerberos-Authentifizierungsmechanismen und die Keytab-Datei angegeben werden.
Fazit
Kerberos bietet eine sichere Möglichkeit zur Authentifizierung von Benutzern in Netzwerken, insbesondere in Kombination mit Active Directory und Proxy-Servern wie Squid. Durch die richtige Konfiguration dieser Komponenten kann ein sicheres Netzwerkumfeld geschaffen werden.