Keberos ADS Squid: Unterschied zwischen den Versionen

Was ist Kerberos?

Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Sicherheit in Computernetzwerken bietet. Es verwendet ein Ticket-basiertes System, um Benutzern und Diensten eine sichere Identität zuzuweisen. Kerberos wird häufig in Umgebungen wie Active Directory (AD) eingesetzt.

Funktionsweise von Kerberos

• KDC (Key Distribution Center): Das Herzstück von Kerberos ist der KDC, der aus zwei Komponenten besteht:
  • Authentication Server (AS): Stellt Benutzern ein Ticket Granting Ticket (TGT) aus.
  • Ticket Granting Server (TGS): Gewährt Benutzern Service Tickets für den Zugriff auf bestimmte Dienste.

• Tickets:
  • TGT (Ticket Granting Ticket): Ein Ticket, das es einem Benutzer ermöglicht, Service Tickets für andere Dienste anzufordern.
  • Service Ticket: Ein Ticket, das für den Zugriff auf spezifische Dienste, wie z.B. Squid, verwendet wird.

1. Erhalt des Ticket Granting Ticket (TGT)

• Bei der ersten Anmeldung des Benutzers wird ein TGT vom Kerberos Authentication Server (AS) ausgestellt.
• Das TGT ist ein einmaliges Ticket, das die Identität des Benutzers für eine bestimmte Zeit bestätigt.

2. Anfordern eines Service Tickets

• Wenn der Benutzer auf einen spezifischen Dienst (z.B. einen Proxy-Server wie Squid) zugreifen möchte, verwendet er das TGT, um ein Service Ticket vom Ticket Granting Server (TGS) anzufordern.

3. Erhalt des Service Tickets

• Der TGS überprüft das TGT und die Berechtigungen des Benutzers. Wenn alles in Ordnung ist, stellt der TGS ein Service Ticket für den Proxy-Server aus.
• Dieses Service Ticket wird an den Benutzer zurückgegeben.

4. Verwendung des Service Tickets

• Der Benutzer verwendet das Service Ticket, um sich beim Dienst (z.B. beim Proxy-Server) zu authentifizieren.
• Das Service Ticket enthält Informationen über den Benutzer und die Berechtigungen für den Dienst.

5. Ablauf und Erneuerung

• Service Tickets haben eine begrenzte Lebensdauer. Nach Ablauf muss der Benutzer ein neues Ticket anfordern.

Warum benötigt der Proxy ein Ticket?

• Der Proxy-Server benötigt ein Ticket, um sicherzustellen, dass nur autorisierte Benutzer auf die über den Proxy bereitgestellten Dienste zugreifen können.
• Ein gültiges Service Ticket bestätigt die Identität des Benutzers und zeigt, dass er authentifiziert ist.
• Durch die Verwendung von Kerberos-Tickets kann der Proxy-Server den Zugriff auf Ressourcen steuern und sicherstellen, dass nur berechtigte Benutzer die Dienste nutzen.

Kerberos in Active Directory (AD)

• AD verwendet Kerberos zur Authentifizierung von Benutzern und Computern im Netzwerk.
• Benutzer, die sich bei einem AD-Domänencontroller anmelden, erhalten ein TGT, das sie verwenden können, um Service Tickets für verschiedene Dienste in der Domäne zu erhalten.

Kerberos und Squid

• Squid ist ein Proxy-Server, der Kerberos für die Authentifizierung von Benutzern verwenden kann.
• Um Kerberos mit Squid zu integrieren, sind einige Konfigurationen erforderlich.

Wichtige Programme und Dateien

• kinit: Ein Kommandozeilenwerkzeug, das verwendet wird, um ein Kerberos-Ticket zu erhalten.
• klist: Ein Tool zur Anzeige von Kerberos-Tickets, die in einem Ticket-Cache gespeichert sind.
• kdestroy: Ein Tool zum Löschen von Kerberos-Tickets aus dem Cache.
• /etc/krb5.conf: Die Konfigurationsdatei für Kerberos, die die Realms und KDC-Informationen enthält.
• /etc/squid/squid.conf: Die Hauptkonfigurationsdatei für Squid, in der Kerberos- und Authentifizierungseinstellungen festgelegt werden.

Konfiguration von Kerberos und Squid

• In der Datei /etc/krb5.conf sollten die Realms und KDC-Server konfiguriert sein.
• In der Squid-Konfigurationsdatei /etc/squid/squid.conf müssen die Kerberos-Authentifizierungsmechanismen und die Keytab-Datei angegeben werden.

Fazit

Kerberos bietet eine sichere Möglichkeit zur Authentifizierung von Benutzern in Netzwerken, insbesondere in Kombination mit Active Directory und Proxy-Servern wie Squid. Durch die richtige Konfiguration dieser Komponenten kann ein sicheres Netzwerkumfeld geschaffen werden.

Erklärung der Kerberos-Befehle und Ausgaben

Befehl: kinit

• kinit administrator:
  • Dieser Befehl wird verwendet, um ein Kerberos-Ticket für den Principal administrator@LAB34.LINUGGS.DE zu erhalten.
  • Der Benutzer wird zur Eingabe des Passworts aufgefordert. Nach erfolgreicher Eingabe wird ein Ticket Granting Ticket (TGT) für den Benutzer erstellt.

Befehl: klist

• klist:
  • Dieser Befehl zeigt die im Kerberos-Ticket-Cache gespeicherten Tickets an.
  • Er zeigt, welche Tickets aktuell für den Benutzer gültig sind und deren Ablaufdaten.

Ausgabe von klist

• Ticket cache: FILE:/tmp/krb5cc_0:
  • Dies gibt an, wo der Ticket-Cache gespeichert ist. In diesem Fall ist es die Datei /tmp/krb5cc_0.

• Default principal: administrator@LAB34.LINUGGS.DE:
  • Dies zeigt den Standard-Prinzipal an, für den das Ticket erstellt wurde.

• Valid starting / Expires / Service principal:
  • Diese Spalten zeigen die folgenden Informationen an:
    • Valid starting - Das Datum und die Uhrzeit, zu der das Ticket gültig wurde.
    • Expires - Das Datum und die Uhrzeit, zu der das Ticket abläuft.
    • Service principal - Der Service, für den das Ticket gilt, in diesem Fall krbtgt/LAB34.LINUGGS.DE@LAB34.LINUGGS.DE, das für den Kerberos Ticket Granting Ticket Service (TGS) steht.

• renew until:
  • Dies gibt an, bis wann das Ticket erneuert werden kann. In diesem Fall kann das Ticket bis zum 10/03/2024 19:50:54 erneuert werden.

Zusammenfassung

• Durch die Verwendung von kinit erhält der Benutzer ein Kerberos-Ticket.
• klist ermöglicht die Überprüfung des Ticket-Status und der Gültigkeitszeiträume.
• Diese Befehle sind entscheidend für die Verwaltung von Kerberos-Authentifizierungsprozessen.

Erklärung des Befehls und der Ausgabe

Befehl: klist -k

• klist -k /etc/squid/PROXY.keytab:
  • Dieser Befehl wird verwendet, um den Inhalt einer Keytab-Datei anzuzeigen.
  • Eine Keytab-Datei speichert Kerberos-Schlüssel für verschiedene Principals und wird häufig verwendet, um die Authentifizierung von Diensten zu ermöglichen, ohne dass Passwörter gespeichert werden müssen.

Ausgabe von klist -k

• Keytab name: FILE:/etc/squid/PROXY.keytab:
  • Dies zeigt den Pfad zur Keytab-Datei an, die untersucht wird.

• KVNO Principal:
  • Diese Spalten geben an, dass die folgende Tabelle die Key Version Number (KVNO) und die zugehörigen Principals zeigt.

• KVNO (Key Version Number):
  • Die Zahl zeigt die Version des Schlüssels an, die für den Principal verwendet wird.
  • Ein höherer KVNO bedeutet in der Regel, dass der Schlüssel aktualisiert wurde.

• Principal:
  • Ein Principal ist der Name eines Benutzers oder Dienstes, der in der Kerberos-Datenbank registriert ist.
  • Es gibt verschiedene Principals in der Ausgabe, einschließlich:
    • PROXYSRV-HTTP$@LAB34.LINUGGS.DE: Ein Principal für einen HTTP-Dienst, wahrscheinlich für interne Proxy-Dienste.
    • HTTP/proxy.lab34.linuggs.de@LAB34.LINUGGS.DE: Ein Principal für den Proxy-Server, der Kerberos-Authentifizierung verwendet.
    • host/proxy.lab34.linuggs.de@LAB34.LINUGGS.DE: Ein Principal für den Hostnamen des Proxy-Servers.
    • PROXY$@LAB34.LINUGGS.DE: Ein weiterer Principal, möglicherweise für einen bestimmten Dienst oder Benutzer.

• Die Anzahl der Einträge zeigt, wie oft jeder Principal in der Keytab-Datei vorhanden ist.

Zusammenfassung

Der Befehl klist -k wird verwendet, um die Kerberos-Principal-Einträge in einer Keytab-Datei anzuzeigen, die für die Authentifizierung von Diensten wie Squid verwendet werden. Die Ausgabe bietet Informationen über die Principals, ihre Versionen und deren Verwendung innerhalb des Kerberos-Systems.

GSSAPI und Kerberos

Was ist GSSAPI?

• GSSAPI (Generic Security Services Application Program Interface):
  • GSSAPI ist eine API, die es Anwendungen ermöglicht, sicherheitsbezogene Dienste wie Authentifizierung, Verschlüsselung und Integritätsschutz zu nutzen, ohne sich um die Details des zugrunde liegenden Sicherheitsmechanismus kümmern zu müssen.
  • GSSAPI unterstützt verschiedene Sicherheitsprotokolle, darunter Kerberos.

Verbindung zwischen GSSAPI und Kerberos

• GSSAPI wird häufig in Kombination mit Kerberos verwendet, um eine sichere Authentifizierung in Netzwerken zu ermöglichen.
• Wenn eine Anwendung GSSAPI verwendet, um sich bei einem Dienst anzumelden, wird Kerberos oft als Sicherheitsmechanismus genutzt, um die Identität des Benutzers zu überprüfen und ein Kerberos-Ticket zu generieren.
• GSSAPI abstrahiert die Komplexität der Kerberos-Interaktion und ermöglicht es Anwendungen, Kerberos für die Authentifizierung zu nutzen, ohne die Details der Ticketverwaltung selbst implementieren zu müssen.

Fehleranalyse

• Befehl: ldapsearch -LLL -Y GSSAPI -H ldap://win2022.lab34.linuggs.de -b dc=lab34,dc=linuggs,dc=de cn=thomas sAMAccountName:
  • Dieser Befehl versucht, eine LDAP-Abfrage unter Verwendung der GSSAPI-Authentifizierung durchzuführen, um die Identität des Benutzers zu bestätigen.

• Fehlermeldung: ldap_sasl_interactive_bind: Local error (-2):
  • Diese Meldung zeigt an, dass es ein Problem bei der lokalen Authentifizierung gab.
  • Der Fehlercode -2 deutet auf ein Problem mit der SASL-Authentifizierung hin.

• Zusätzliche Info: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database):
  • Diese Meldung weist darauf hin, dass ein spezifisches Problem mit der GSSAPI-Authentifizierung aufgetreten ist.
  • Die Angabe "Server not found in Kerberos database" deutet darauf hin, dass der Kerberos-Server den Principal für den LDAP-Dienst (in diesem Fall wahrscheinlich `ldap/win2022.lab34.linuggs.de`) nicht finden kann.

Mögliche Ursachen

• **Principal fehlt in der Kerberos-Datenbank**: Der Principal, der für die GSSAPI-Authentifizierung benötigt wird, könnte nicht in der Kerberos-Datenbank vorhanden sein.
• **Falsche Kerberos-Konfiguration**: Die Kerberos-Konfigurationsdatei (`/etc/krb5.conf`) könnte falsch konfiguriert sein oder der KDC ist nicht erreichbar.
• **DNS-Probleme**: Der FQDN des LDAP-Servers könnte nicht korrekt aufgelöst werden, was dazu führt, dass der Principal nicht gefunden wird.

Fazit

GSSAPI und Kerberos arbeiten zusammen, um eine sichere Authentifizierung zu ermöglichen. Die Fehlermeldung deutet auf ein Problem mit der GSSAPI-Authentifizierung hin, möglicherweise aufgrund eines fehlenden Principals in der Kerberos-Datenbank oder eines Konfigurationsproblems.