OpenAFS-Authentisierung - das Kerberos-Basisprotokoll zum Anfassen

Lecturer: 
Mathias Feiler

 

„Die grundlegende Idee des Kerberos Protokolls - In Theorie und Spiel“ Dieser Vortrag ist eine kleine Einführung in das Kerberos Protokoll. Kerberos wurde zu Beginn des Computer-Zeitalters am MIT entwickelt, aber erst Ende der 80-er entwich es diesem zum ersten mal in der (Labor-)Version 4. Heute liegt es in der Version 5 vor und wird mit kleinen Variationen in verschiedenen Produkten wie z.B „Active Directory“ verwendet. Kerberos dient dazu jeweils zwei Partner über ein unsicheres öffentliches Computer-Netzwerke wechselseitig zu authentisieren. Damit ein Prinzipal (zumeist ein Mensch) Dienstleistungen von bisher unbekannten Anbietern (im allgemeinen Maschinen) beziehen kann wird der Kerberosserver als „trusted third party“ (vertrauenswürdiger gemeinsamer Bekannte) benutzt. 

Die Client-Maschine selbst muss dazu lediglich ein Stück Software und Netzzugang besitzen – nichts weiter. Das bedeutet, dass die vom Mensch als Kerberos-Client benutze konkrete Maschine kein eminenter Teil der Kerberos-Authentisierung an sich ist. Der Benutzer kann Kerberos auch auf einer neu installierten Maschine problemlos benutzen, ohne dass zuvor ein zentraler Administrator irgendwelche mystischen Initialisierungsriten zelebrieren muss. Abgesehen davon ist es natürlich immer wichtig, dass ein Anwender von der Integrität einer ClientMaschine überzeugt sein sollte.

Nach erfolgreicher Authentisierung erhält der Benutzer eine zeitlich begrenzte Zugriffsberechtigung, ein sogenanntes „Ticket“ . Die Zeitliche Limitierung ist wichtig, da nur so sichergestellt werden kann, dass eine entzogene Berechtigung auch in definierter endlicher Zeit wirksam wird. Berechtigte Benutzer können sich gegen Ende der Gültigkeit , welche für gewöhnlich zwischen 8 und 25 Stunden liegt, ein neues Ticket besorgen. 

Eine weitere wichtige Eigenschaft des Kerberos ist die Wechselseitigkeit der Authentisierung. Um es auf den Punkt zu bringen: Nicht nur die Bank hat ein Interesse daran festzustellen wer vor dem Geldautomaten steht, nein, auch der Bankkunde sollte ein Interesse daran haben, sicherzustellen, dass der gerade benutze Automat auch wirklich zu der Bank gehört. 

Die „Authorisierung“ indes ist nicht Gegenstand des Kerberos-Protokolls. Die „Authentisierung“ oder „Authentifizierung“ (hier mit Kerberos) stellt lediglich sicher, dass der Dienstsuchende auch der ist, der er behauptet zu sein. Die Authorisierung bestimmt danach, ob der (authentifizierte) Anwender auch erhält, was er begehrt. Um beim Beispiel zu bleiben – sicherzustellen, dass sich wirklich der zur Karte gehörende Kunde vor dem Terminal befindet ist die Aufgabe der Authentisierung, ob dieser Kunde tatsächlich den avisierten Betrag abheben kann oder darf ist eine Frage der Authorisierung.

Im Vortrag werden die wichtigsten Begriffe aus diesem Umfeld geklärt und auf das grundlegende Kerberos-Protokoll eingegangen. Danach wird die Notwendigkeit des vollständigen KDC mit TGS / TGT2 und Preauthentication dargestellt. Am Ende des Vortrages steht eine Frage , welche zeigen kann, ob das Wesen dieser Authentisierung verstanden wurde. 

Bei Bedarf kann nach dem Vortrag oder im Workshop im kleinen Kreis das Kerberos-Kern-Protokoll „händisch“ durchgespielt werden. Dieses Workshop-Theaterstück nennt sich dann „Der Ur-Kerberos“. Eine Spielgruppe besteht dabei aus 4-5 Personen. Maximal zwei Gruppen können gleichzeitig spielen. 

 

Knowlege: 
EDV- und Netzwerkkenntnisse sind von Vorteil aber nicht notwendig.