Artikel

Kerberos-Authentifizierung: Vorteile, Herausforderungen und Funktionsweise

Das Kerberos-Authentifizierungsprotokoll verstehen

Die Kerberos-Authentifizierung ist ein Netzwerkauthentifizierungsprotokoll, das zur Validierung von Dienstanfragen in einem nicht vertrauenswürdigen Netzwerk, wie z. B. dem Internet, zwischen zwei oder mehr vertrauenswürdigen Hosts verwendet wird, ohne dass Passwörter übertragen werden müssen. Kerberos, ein Eckpfeiler moderner Netzwerksicherheitsprotokolle, basiert auf symmetrischer Kryptografie und erfordert die Vermittlung durch eine vertrauenswürdige dritte Partei.

Kerberos wurde 1983 eingeführt und hat sich in verschiedenen Umgebungen, insbesondere in Umgebungen mit starken Authentifizierungsmaßnahmen, weit verbreitet. Kerberos ist in zahlreichen Betriebssystemen implementiert und gehört zum Standard vieler Netzwerksicherheits- und Single-Sign-On-Lösungen.

Der Ursprung von Kerberos

Die Kerberos-Authentifizierung wurde 1983 im Rahmen von Project Athena eingeführt, einem Gemeinschaftsprojekt von MIT, Digital Equipment Corporation und IBM. Ziel war die Schaffung einer campusweiten verteilten Computerumgebung für Bildungszwecke.

Der Name Kerberos wurde von der griechischen mythologischen Figur Zerberus inspiriert, dem dreiköpfigen Hund, der den Eingang zum Hades (der Unterwelt) bewacht.

Dies symbolisiert die Struktur des Protokolls, das drei unterschiedliche und voneinander abhängige Komponenten umfasst: Client, Server und Key Distribution Center (KDC).

Wie funktioniert die Kerberos-Authentifizierung: Architektur und Prozess?

Kerberos-Authentifizierungsarchitektur

Kerberos verwendet symmetrische Verschlüsselung (Secret-Key-Kryptografie) und einen vertrauenswürdigen Drittanbieter, das Key Distribution Center (KDC), um Client-Server-Anwendungen zu authentifizieren und Benutzeridentitäten zu überprüfen. Das KDC stellt dem Client Tickets über einen Authentifizierungsserver und Ticket-Granting-Dienste über einen Ticket-Granting-Server aus. Diese Tickets werden mit einem Sitzungsschlüssel verschlüsselt und dienen dem Client als Identitätsnachweis.

Das KDC umfasst drei Hauptelemente:

  1. Authentifizierungsserver (AS) – führt die Erstauthentifizierung durch, wenn ein Benutzer Zugriff auf einen Dienst anfordert, und stellt ihm Tickets aus.
  2. Ticket-Granting-Server (TGS) – akzeptiert authentifizierte Clients und verbindet den Benutzer mit dem angeforderten Dienstserver (SS).
  3. Kerberos-Datenbank – speichert die Kennungen aller verifizierten Benutzer.

Beachten Sie, dass alle vom KDC ausgestellten Tickets zeitlich begrenzt sind.

Kerberos-Authentifizierungsprozess

Der Kerberos-Authentifizierungsprozess basiert auf einer Reihe von Interaktionen zwischen Client, Server und KDC. Für jede Sitzung wird ein verschlüsseltes Ticket (d. h. ein Sitzungsschlüssel) generiert und auf dem Gerät des anfordernden Benutzers gespeichert. Der angeforderte Dienst verwendet dieses Ticket zur Authentifizierung des Anforderers, anstatt Passwörter zu verwenden.

Der Kerberos-Authentifizierungsprozess umfasst vier Hauptschritte. Dieser Ablauf stellt sicher, dass das Benutzerpasswort niemals über das Netzwerk übertragen wird und schützt es so vor unbefugtem Abfangen.

1. Erste Kerberos-Authentifizierungsanfrage

Ein Benutzer initiiert einen Anmeldeversuch und fordert die Authentifizierung vom Authentication Server (AS) des KDC mit einer Kerberos-Authentifizierungsanfrage an. Diese Anfrage enthält den User Principal Name (UPN, die Benutzerkennung), jedoch nicht das Passwort, sowie die Gültigkeitsdauer des Tickets mit den Ablaufdetails. Diese Daten werden mit dem Passwort-Hash des Benutzers verschlüsselt, und der AS generiert ein Ticket-Granting-Ticket (TGT).

2. Ausstellung des Kerberos-Ticket-Granting-Tickets (TGT)

Sobald die Serviceanfrage vom AS empfangen wird, versucht das KDC, die Nachricht mithilfe des Passwort-Hashs des Benutzers zu entschlüsseln. Wenn die Nachricht erfolgreich entschlüsselt wurde und der Zeitstempel noch nicht abgelaufen ist, generiert der AS einen Sitzungsschlüssel und ein TGT, die an den Client gesendet werden, um nachfolgende Anfragen zu verschlüsseln.

Das TGT enthält die Client-ID, die Netzwerkadresse und die Gültigkeitsdauer. Das System des Benutzers verwendet das Passwort, um den Sitzungsschlüssel zu entschlüsseln, das TGT selbst ist jedoch mit dem geheimen Schlüssel des TGS verschlüsselt.

3. Kerberos-Serviceticket-Anfrage

Der Client sendet anschließend eine Anfrage an den TGS. Diese Anfrage enthält das zuvor empfangene verschlüsselte TGT und eine mit dem Sitzungsschlüssel verschlüsselte Serviceanfrage. Der TGS entschlüsselt das Ticket mit seinem geheimen Schlüssel und versucht, dessen Gültigkeit zu überprüfen. Kann der Server das Serviceticket erfolgreich entschlüsseln und die Anfrage authentifizieren, bestätigt er die Identität des Clients und gewährt Zugriff.

4. Kerberos-Servicezugriff

Nach erfolgreicher Authentifizierung präsentiert der Client das Serviceticket dem Server. Wenn der Server das Serviceticket erfolgreich entschlüsseln kann, gewährt er dem Client Zugriff.

Vorteile der Kerberos-Authentifizierung

Die Kerberos-Authentifizierung bietet mehrere Vorteile für die Netzwerksicherheit und -verwaltung, darunter die Folgenden:

Interoperabilität

Als offenes Standardprotokoll ist Kerberos eine interoperable Lösung, die verschiedene Systemtypen und Plattformen unterstützt, darunter Windows, Unix und Linux.

Gegenseitige Authentifizierung

Kerberos bietet gegenseitige Authentifizierung, bei der Client und Server die Identität des jeweils anderen überprüfen. Dies reduziert das Risiko von Man-in-the-Middle (MitM)-Angriffen, bei denen ein Angreifer sich als Server oder Client ausgibt, um den Inhalt einer Nachricht abzufangen. Da Kerberos die Authentifizierung beider Seiten erfordert, wird das Risiko von MitM-Angriffen maßgeblich minimiert.

Skalierbarkeit

Wenn die Infrastruktur entsprechend dem Volumen aktualisiert wird, kann Kerberos skaliert werden, um Authentifizierungsanfragen für große Netzwerke mit vielen Benutzern und Diensten zu verarbeiten.

Single Sign-On (SSO)-Funktion

Kerberos ermöglicht SSO, sodass Benutzer sich einmal authentifizieren und auf mehrere Dienste zugreifen können, ohne sich erneut anmelden zu müssen. SSO verbessert nicht nur die Benutzererfahrung, sondern trägt auch zu einem hohen Sicherheitsniveau bei, da die Notwendigkeit mehrerer Passwörter entfällt. Dies verhindert Passwort-Müdigkeit und beugt unsicheren Praktiken vor.

Starke Verschlüsselung

Kerberos verwendet symmetrische Verschlüsselung, um den Datenaustausch zwischen Client und Server, einschließlich des Authentifizierungsprozesses selbst, zu schützen. Die für die Verschlüsselung verwendeten Schlüssel werden niemals über das Netzwerk übertragen. Dies reduziert das Abhörrisiko und schützt vor Lauschangriffen und Datenmanipulationen während der Übertragung.

Einschränkungen der Kerberos-Authentifizierung

Obwohl die Kerberos-Authentifizierung Vorteile bietet, weist sie einige Einschränkungen hinsichtlich Implementierung und Betrieb auf. Diese Herausforderungen ergeben sich aus dem Protokolldesign, den betrieblichen Anforderungen und Umgebungsfaktoren.

Komplexität und Managementaufwand

Die Komplexität des Kerberos-Protokolls kann eine erhebliche Hürde darstellen. Einrichtung und Management eines Kerberos-Systems erfordern ein profundes Verständnis des Protokolls, eine sorgfältige Konfiguration und ein kontinuierliches Management. Dies erfordert spezielles Wissen und Ressourcen, was für kleinere Unternehmen eine Herausforderung darstellen kann.

Administratoren müssen Schlüssel verwalten, Dienste korrekt konfigurieren und die kontinuierliche Wartung des KDC sicherstellen. Werden diese Details nicht beachtet, kann dies zu Fehlern und Schwachstellen führen, die die Sicherheit beeinträchtigen. Darüber hinaus benötigt jeder Netzwerkdienst einen Satz Kerberos-Schlüssel.

Komplexität der domänenübergreifenden Authentifizierung

Da Kerberos ursprünglich für die Verwendung innerhalb einer einzelnen Domäne konzipiert wurde, kann die domänenübergreifende oder realm-übergreifende Authentifizierung, beispielsweise zwischen verschiedenen administrativen Domänen, komplex einzurichten und zu verwalten sein. Sie erfordert manuelle Schritte zum Aufbau und zur Aufrechterhaltung von Verbindungen zwischen verschiedenen Realms. Ein Schlüssel von einem KDC muss mit dem anderen KDC geteilt werden.

Interoperabilitäts- und Kompatibilitätseinschränkungen

Nicht alle Protokolle unterstützen die Kerberos-Authentifizierung, was den Einsatz in heterogenen Netzwerkumgebungen mit einer Vielzahl von Diensten und Protokollen erschweren kann. Die Integration von Kerberos in verschiedene Systeme und Anwendungen, insbesondere solche, die Kerberos nicht nativ unterstützen, kann sich als schwierig erweisen, da zusätzlicher Aufwand und manchmal individuelle Lösungen erforderlich sind.

Einschränkungen von Kerberos-Tickets

Kerberos-Tickets haben eine begrenzte Gültigkeit. Das Ablaufen von Tickets kann zu Problemen bei lang laufenden Anwendungen oder Sitzungen führen, die die Gültigkeitsdauer des Tickets überschreiten. Es kann schwierig sein, Tickets zu erneuern, ohne Benutzersitzungen zu unterbrechen.

Passwortbasierte Angriffe

Brute-Force-Angriffe auf Passwörter sind bei Kerberos effektiv, da ein Angreifer lediglich eine Verbindung zum KDC benötigt, ohne bereits Teil der Domäne sein zu müssen. Ein Angreifer kann wiederholte Authentifizierungsanfragen senden und dabei Wortlisten verwenden, um leicht zu erratende Passwörter zu testen. So erhält er Zugriff auf das Ticket-Granting-Ticket (TGT) und kann sich als jener Benutzer ausgeben.

Skalierbarkeitsprobleme

Obwohl Kerberos skalierbar konzipiert ist, kann die Abhängigkeit von einem zentralen KDC bei steigendem Authentifizierungsvolumen zu Engpässen führen. Sorgfältige Planung und Überwachung sind erforderlich, um sicherzustellen, dass zusätzliche Infrastruktur zur Unterstützung des Wachstums hinzugefügt wird.

Single Point of Failure

Da das KDC als zentrale Instanz im Kerberos-Authentifizierungsmodell fungiert, wird der gesamte Authentifizierungsprozess unterbrochen, wenn es wenn es ausfällt oder kompromittiert wird – etwa durch Hardwarefehler, Netzwerkprobleme oder Cyberangriffe. Dies kann möglicherweise zu einer Unterbrechung des Zugriffs auf alle Dienste führen, die Kerberos zur Authentifizierung verwenden.

Sensitivität der Zeitsynchronisierung

Kerberos nutzt Zeitstempel, um Replay-Angriffe zu verhindern (d. h. eine Angriffsart, bei der ein Angreifer eine gültige Datenübertragung wiederholt, um sich als legitimer Benutzer auszugeben). Um Replay-Angriffe zu verhindern, müssen die Systemzeiten aller Einheiten im Kerberos-System synchronisiert sein. Ein Fehler bei der Synchronisierung kann zu fehlgeschlagenen Authentifizierungsversuchen führen. Wenn die lokale Systemzeit zwischen Client- und Server-Computer um mehr als fünf Minuten abweicht (Standard), kann sich der Client-Computer nicht authentifizieren.

Allerdings kann es schwierig sein, diese Synchronisierung in einem großen, verteilten Netzwerk aufrechtzuerhalten, insbesondere in Umgebungen mit unterschiedlicher Genauigkeit und Stabilität der Uhr.

Häufige Probleme und Fehlerbehebung bei der Kerberos-Authentifizierung

Vermeiden Sie häufige Kerberos-Probleme, indem Sie die Ursachen verstehen und wissen, wie Sie diese beheben. Durch die Behebung bekannter Schwachstellen können Unternehmen die Vorteile der Kerberos-Authentifizierung nutzen ohne die damit verbundenen Risiken einzugehen.

Domänencontroller

Kerberos ist auf hochverfügbare Key Distribution Center (KDCs) angewiesen, die in der Regel Domänencontroller in Active Directory sind. Wenn die Domänencontroller nicht erreichbar oder falsch konfiguriert sind, schlägt die Authentifizierung fehl. Empfehlungen zur Fehlerbehebung umfassen Folgendes:

  • Überprüfen Sie den Replikationsstatus der Domänencontroller
  • Überprüfen Sie die DNS-Einträge für die Domänencontroller
  • Stellen Sie sicher, dass Firewall und Routing Kerberos-Datenverkehr zulassen

Integration von Drittanbietersystemen

Anwendungen benötigen korrekte Service Principal Names (SPNs) und Keytabs. Sind die SPNs nicht eindeutig oder sind die Keytabs abgelaufen, schlägt die Integration fehl. Empfehlungen zur Fehlerbehebung:

  • SPNs überprüfen
  • Keytabs neu generieren, wenn Dienste die Fehlermeldung „Decrypt integrity check failed“ (Entschlüsselungsintegritätsprüfung fehlgeschlagen) melden
  • Prüfen, ob der Dienst Kerberos unterstützt

Ältere Systeme

Ältere Systeme unterstützen möglicherweise kein Kerberos oder verwenden standardmäßig NTLM. Dies führt zu Kompatibilitätsproblemen und Sicherheitslücken. Empfehlungen zur Fehlerbehebung umfassen Folgendes:

  • Kerberos-Präferenz in Gruppenrichtlinien erzwingen
  • Wenn Kerberos nicht unterstützt wird, isolieren Sie ältere Systeme und wenden Sie kompensierende Maßnahmen wie VPNs, Firewalls und Multi-Faktor-Authentifizierung (MFA) an

Kerberos-Authentifizierungsfehler

Diese allgemeinen Fehler werden häufig durch eine Zeitsynchronisierung zwischen Client, Server oder KDC verursacht, die um mehr als fünf Minuten abweicht. Weitere Ursachen für Kerberos-Authentifizierungsfehler sind Fehlkonfigurationen des Domain Name Service (DNS), die zu einem Fehler bei der KDC-/Dienstauflösung führen, oder ein falscher oder doppelter SPN. Folgende Schritte können zur Behebung dieser Probleme unternommen werden:

  • Zeit auf Client, Server und KDC synchronisieren
  • Domänenanmeldung überprüfen
  • Tickets löschen und erneut authentifizieren

Kann Kerberos gehackt werden?

Wie alle Sicherheitsmechanismen ist auch die Kerberos-Authentifizierung nicht vollständig vor Hackerangriffen geschützt. Mögliche Angriffsmöglichkeiten für die Kerberos-Authentifizierung sind:

Kompromittiertes Key Distribution Center (KDC)

Da das KDC für den Kerberos-Authentifizierungsprozess von zentraler Bedeutung ist, können Angreifer bei einer Kompromittierung die Möglichkeit erhalten, für jeden Benutzer gültige Tickets für jeden Dienst innerhalb des Bereichs (d. h. der Domäne) auszustellen. Dies könnte einem Angreifer uneingeschränkten Zugriff auf das gesamte Netzwerk ermöglichen.

Golden-Ticket-Angriffe

Bei einem Golden-Ticket-Angriff erhält ein Angreifer Zugriff auf den geheimen Schlüssel des KDC für einen Bereich (d. h. eine Domäne). Dadurch können sie TGTs generieren, um jedem Benutzer uneingeschränkten Zugriff auf jeden Dienst zu gewähren.

Diese Tickets ermöglichen einen umfassenden und dauerhaften Zugriff, da sie über einen längeren Zeitraum gültig gemacht werden können. Da die sogenannten „Golden Tickets“ von regulären Tickets nicht zu unterscheiden sind, ist ihre Erkennung schwierig.

Silver-Ticket-Angriffe

Wie Golden-Ticket-Angriffe werden auch Silver-Ticket-Angriffe in kleinerem Maßstab durchgeführt. Bei einem Silver-Ticket-Angriff erhält ein Angreifer ebenfalls Zugriff auf den geheimen Schlüssel eines Dienstes, kann aber gültige Service-Tickets für den Zieldienst erstellen.

Obgleich ein Silver-Ticket nicht den umfassenden Zugriff eines Golden-Tickets bietet, ermöglicht es dem Angreifer, sich als beliebiger Benutzer des kompromittierten Dienstes auszugeben und normale Authentifizierungsprüfungen zu umgehen. Ebenso wie goldene Tickets können silberne Tickets unentdeckt bleiben, da an der Kommunikation nicht das KDC beteiligt ist.

Pass-the-Ticket-Angriffe

Bei einem Pass-the-Ticket-Angriff stiehlt ein Angreifer ein gültiges TGT und verwendet es, um sich als legitimer Benutzer auszugeben und sich unbefugten Zugriff auf Dienste zu verschaffen. Da die Kerberos-Authentifizierung auf Tickets und nicht auf dem interaktiven Austausch von Passwörtern basiert, kann ein Angreifer, der ein gültiges Ticket erhält, dieses unangefochten verwenden. Diese Art von Angriff nutzt die Vertrauensbeziehung im Kerberos-Ticketsystem aus und ist besonders effektiv, wenn die Gültigkeitsdauer von Tickets lang ist oder die Ticketverlängerung aktiviert ist.

Insider-Bedrohungen

Ein Insider (z. B. Mitarbeiter, Auftragnehmer oder jeder, der Zugriff auf das interne Netzwerk hat) mit legitimem Zugriff auf vertrauliche Bereiche der Kerberos-Authentifizierungsinfrastruktur, einschließlich des Key Distribution Centers (KDC), kann möglicherweise externe Abwehrmaßnahmen umgehen und auf Dienste zugreifen, die vertrauliche Daten enthalten.

Man-in-the-Middle-Angriffe (MitM)

Kerberos ist zwar darauf ausgelegt, MitM-Angriffe durch gegenseitige Authentifizierung zu verhindern, doch bestimmte Fehlkonfigurationen oder Netzwerkschwachstellen können es Angreifern ermöglichen, die Kommunikation zwischen Client und KDC oder zwischen Client und Dienstserver abzufangen.

Angriffe durch das Erraten von Passwörtern

Eine häufig ausgenutzte Schwachstelle bei der Kerberos-Authentifizierung ist die Stärke des Benutzerpassworts, da die anfängliche Authentifizierung auf einem geheimen Schlüssel basiert, der aus dem Benutzerpasswort abgeleitet wird.

Ist das Passwort eines Benutzers schwach, kann ein Angreifer es mithilfe von Brute-Force- oder Wörterbuchangriffen erraten. Mit dem verifizierten Passwort kann ein Angreifer ein Ticket-Granting-Ticket (TGT) vom Key Distribution Center (KDC) anfordern, sich als jener Benutzer ausgeben und unbefugten Zugriff auf Dienste erlangen.

Replay-Angriffe

Ein Replay-Angriff nutzt die Zeitstempel von Kerberos aus. Obwohl die meisten Tickets nur eine kurze Gültigkeitsdauer haben, kann ein Angreifer, der Zugriff auf ein gültiges Ticket erlangt, dieses innerhalb des zulässigen Zeitraums erneut verwenden, um unbefugten Zugriff zu erlangen.

Bewährte Praktiken für die Kerberos-Authentifizierungskonfiguration

Diese bewährten Konfigurationspraktiken tragen dazu bei, die Kerberos-Authentifizierung sicher und zuverlässig zu gestalten.

  • Konfigurieren Sie Forward- und Reverse-DNS-Lookups korrekt, damit Clients immer die richtigen Domänencontroller und Dienste finden.
  • Beschränken Sie die Delegierung von Diensten.
  • Stellen Sie mehrere KDCs bereit, um Single Points of Failure zu vermeiden.
  • Stellen Sie sicher, dass jeder Dienst einen eindeutigen Service Principal Name (SPN) hat.
  • Achten Sie darauf, dass alle Clients, Server und Key Distribution Center (KDCs) innerhalb von fünf Minuten voneinander erreichbar sind.
  • Begrenzen Sie die Ticketlebensdauer, indem Sie die Gültigkeitsdauer von Ticket-Granting-Tickets (TGTs) und Service-Tickets verkürzen.
  • Führen Sie detaillierte Protokolle über domänen- oder realmübergreifende Konfigurationen.
  • Testen Sie regelmäßig Tickets und SPNs.
  • Rotieren und aktualisieren Sie die Dienstschlüssel, um die Synchronisierung mit dem KDC zu gewährleisten.
  • Überwachen Sie Kerberos-Ereignisse auf ungewöhnliche Muster (z. B. Pass-the-Ticket-Versuche).
  • Verwenden Sie ausschließlich eine starke, AES-basierte Verschlüsselung.

Kerberos im Vergleich zu anderen Authentifizierungsprotokollen: Vergleiche und Unterschiede

Neben Kerberos gibt es weitere Authentifizierungsprotokolle wie NTLM, LDAP, OAuth, SAML und OpenID Connect. Nachfolgend finden Sie eine Kurzübersicht dieser Authentifizierungsprotokolle.

  • NTLM – ein älteres Windows-Challenge-Response-Protokoll, das Passwort-Hashes verwendet.
    Einschränkung: Anfällig für Pass-the-Hash- und Relay-Angriffe, daher unsicher für moderne Umgebungen.
  • LDAP – ein Verzeichniszugriffsprotokoll zum Speichern und Abrufen von Identitätsinformationen.
    Einschränkung: Bietet nur geringe Sicherheit in Kombination mit LDAPS und verfügt über keine integrierten SSO-Funktionen.
  • OAuth – ein Autorisierungsframework, das Token ausgibt, um Anwendungen eingeschränkten Zugriff auf Benutzerressourcen zu gewähren.
    Einschränkung: Für die Autorisierung, nicht für die Authentifizierung konzipiert. Birgt Risiken bei Token-Diebstahl.
  • SAML – ein XML-basiertes Protokoll zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen Identitätsanbietern und Dienstanbietern.
    Einschränkung: Es basiert auf ausführlichem XML, was im Vergleich zu modernen JSON-basierten Protokollen komplex und langsamer sein kann.
  • OpenID Connect – eine JSON-basierte Identitätsschicht, die auf OAuth 2.0 aufbaut und sowohl Authentifizierung als auch Autorisierung für Web-, Mobil- und API-Anwendungen bietet.
    Einschränkung: Stark von einer korrekten OAuth-2.0-Implementierung abhängig, wodurch Fehlkonfigurationen ein häufiges Risiko darstellen.

Über das Kerberos-Authentifizierungsprotokoll

Kerberos wird in modernen Netzwerken weiterhin häufig verwendet, um eine sichere Authentifizierung in unsicheren Netzwerken zu gewährleisten.

Trotz seiner breiten Nutzung ist es nicht ohne Einschränkungen. Die Kerberos-Authentifizierung erfordert eine sorgfältige Einrichtung und ein umfassendes Management, um ihre Sicherheit zu gewährleisten. Dazu gehört die Gewährleistung der Zeitsynchronisierung zwischen verschiedenen Elementen in verschiedenen Netzwerken und der Schutz des Key Distribution Centers vor potenziell schwerwiegenden Sicherheitsverletzungen.

Unternehmen können sich jedoch dafür entscheiden, die richtigen Ressourcen und Fachkenntnisse einzusetzen, um diese und andere Risiken zu mindern und die Kerberos-Authentifizierung als Rahmen für die Authentifizierung von Benutzern und Diensten in einer verteilten Netzwerkumgebung zu nutzen.

HINWEIS: DIE IN DIESEM DOKUMENT ENTHALTENEN INFORMATIONEN DIENEN AUSSCHLIESSLICH INFORMATIONSZWECKEN UND STELLEN KEINE RECHTSBERATUNG DAR. SAILPOINT KANN KEINE RECHTSBERATUNG ERTEILEN UND EMPFEHLT, SICH BEI RECHTSFRAGEN AN EINEN RECHTSANWALT ZU WENDEN.

Häufig gestellte Fragen (FAQ) zur Kerberos-Authentifizierung

Was ist Kerberos-Authentifizierung und wie funktioniert sie?

Die Kerberos-Authentifizierung ist ein Netzwerkauthentifizierungsprotokoll, das zur Überprüfung der Identität von Benutzern und Diensten in verteilten Netzwerkumgebungen und über nicht vertrauenswürdige Netzwerke verwendet wird. Es wird häufig zur Stärkung der Identitätssicherheit eingesetzt, da es die Offenlegung von Passwörtern reduziert, Replay-Angriffe verhindert und Single Sign-On (SSO) unterstützt.

Der Kerberos-Authentifizierungsprozess verwendet zeitlich begrenzte Tickets, die von einer vertrauenswürdigen dritten Partei, dem sogenannten Key Distribution Center (KDC), ausgestellt werden. Nachfolgend finden Sie eine Zusammenfassung der Funktionsweise der Kerberos-Authentifizierung.

1. Der Benutzer gibt seinen Benutzernamen und sein Passwort in sein System ein.
2. Der Authentifizierungsserver (AS) des KDC überprüft die Anmeldeinformationen.
3. Sind die Anmeldeinformationen gültig, stellt der AS ein Ticket-Granting-Ticket (TGT) aus, das mit dem Schlüssel des Benutzers verschlüsselt ist.
4. Das System des Benutzers übermittelt das TGT an den Ticket-Granting-Server (TGS) beim Zugriff auf einen Dienst.
5. Der TGS stellt ein Service-Ticket für die jeweilige Ressource aus.
6. Das System des Benutzers übermittelt das Service-Ticket an den Dienst, der es überprüft und den Zugriff ohne Passwortabfrage gewährt.


Was ist ein Beispiel für Kerberos?

Ein Beispiel für die Kerberos-Authentifizierung findet sich in Unternehmensumgebungen, die Microsoft Active Directory verwenden. Meldet sich ein Benutzer an einer in eine Windows-Domäne eingebundenen Workstation an, wird die Kerberos-Authentifizierung automatisch aktiviert, um die Anmeldeinformationen des Benutzers zu validieren. Sobald Kerberos den Benutzer in einem Windows Active Directory authentifiziert hat, kann dieser ohne Passworteingabe auf verschiedene Dienste zugreifen, die mit Kerberos-Authentifizierung konfiguriert sind, z. B.:

  • Collaboration-Tools (z. B. SharePoint-Websites oder Teams)
  • Datenbanken (z. B. SQL Server-, Oracle- oder PostgreSQL-Instanzen)
  • Domänenverwaltete Drucker
  • E-Mail-Dienste (z. B. Microsoft Exchange-Postfächer und Outlook Web Access)
  • Netzwerkdienste (z. B. DNS, DHCP und andere Infrastrukturdienste unter Domänenverwaltung)
  • Andere in die Domäne eingebundene Computer
  • Freigegebene Netzwerkordner und -laufwerke
  • Webanwendungen (z. B. Intranetportale oder interne Anwendungen)
Was ist der Unterschied zwischen Kerberos und LDAP?

Kerberos fokussiert sich auf die hochsichere, gegenseitige Identitätsprüfung von Clients und Servern innerhalb eines Netzwerks. LDAP hingegen fungiert primär als zentraler Verzeichnisdienst zur Organisation und Abfrage von Benutzerdaten, über den zwar auch Anmeldungen validiert werden können, dessen Stärke aber in der Datenverwaltung liegt.

Im Wesentlichen dient die Kerberos-Authentifizierung dem Identitätsnachweis, während LDAP die Identitäten verwaltet. Kerberos und LDAP werden häufig gemeinsam eingesetzt, wobei LDAP die Identitätsdaten speichert und Kerberos deren Authentifizierung sichert.


Was ist der Unterschied zwischen Kerberos und SSO?

Kerberos authentifiziert und autorisiert Benutzer und Dienste in einer Netzwerkumgebung, während SSO (Single Sign-On) den Zugriff über verschiedene Dienste und Plattformen hinweg ermöglicht. Kerberos wird häufig als Backend-Technologie für SSO verwendet. Kerberos dient dazu, die Authentifizierung zu implementieren, und SSO ermöglicht Benutzern den Zugriff auf mehrere Systeme mit einer einzigen Anmeldung.

Was ist der Unterschied zwischen Kerberos und OAuth?

Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das die Identität eines Benutzers in internen Unternehmensumgebungen überprüft. OAuth ist ein Autorisierungsframework, das Anwendungen (z. B. Web-, Mobil-, Desktop- und Machine-to-Machine-Anwendungen) eingeschränkten Zugriff auf Benutzerressourcen gewährt, ohne Anmeldeinformationen preiszugeben. Dies geschieht häufig über Anwendungsprogrammierschnittstellen (APIs). Während Kerberos verschlüsselte Tickets verwendet, die von einem externen Schlüsselverteilungszentrum bereitgestellt werden, nutzt OAuth Token, die von einem Autorisierungsserver ausgestellt werden. Dieser kann intern und unternehmensweit kontrolliert oder von einem externen Drittanbieter betrieben werden.


Wird die Kerberos-Authentifizierung noch verwendet?

Ja, die Kerberos-Authentifizierung wird weiterhin eingesetzt und bleibt voraussichtlich ein wichtiger Bestandteil der Netzwerksicherheit in Unternehmen. Gängige Betriebssysteme wie Windows, Linux und macOS nutzen Kerberos weiterhin als zentrales Authentifizierungsprotokoll, insbesondere in Umgebungen mit zentralisiertem Identitäts- und Zugriffsverwaltung. Häufig genannte Gründe für die anhaltende Verwendung der Kerberos-Authentifizierung sind u. a.:

  • Sie bietet nahtlose Interoperabilität mit Cloud-Diensten und hybriden Umgebungen durch Erweiterungen und Anpassungen.
  • Sie gewährleistet eine starke gegenseitige Authentifizierung.
  • Sie reduziert das Risiko der Passwortgefährdung.
  • Sie unterstützt Single Sign-On (SSO) für mehrere Dienste.
Wie kann die Kerberos-Authentifizierung aktiviert werden?

Die genauen Schritte zur Aktivierung der Kerberos-Authentifizierung in der Netzwerkumgebung einer Organisation variieren. Die fünf wichtigsten Schritte sind jedoch:

1. Einrichten eines Key Distribution Centers (KDC), das den Authentifizierungsserver (AS) und den Ticket-Granting-Server (TGS) hostet.
2. Erstellen und Konfigurieren von Benutzerkonten (d. h. angemeldeten Entitäten) und Dienstprinzipalen (d. h. Anwendungen oder Ressourcen, auf die zugegriffen wird) im KDC. Dazu gehört die Anpassung von Netzwerkrichtlinien, Firewalls und DNS, um einen reibungslosen Kerberos-Datenverkehr zwischen Clients, Servern und KDCs zu ermöglichen.
3. Aktivieren von Kerberos auf Clients und Diensten.
4. Abrufen eines Ticket-Granting-Tickets (TGT).
5. Zugriff auf Dienste.


Wie können Kerberos-Authentifizierungsfehler behoben werden?

Zur Behebung von Kerberos-Authentifizierungsfehlern in der gesamten Infrastruktur ist ein systematisches Vorgehen erforderlich. Die Ursache liegt in der Regel in einem Fehler im Ticketing-Prozess. Im Folgenden finden Sie einige Schritte zur Behebung von Kerberos-Authentifizierungsfehlern.

  • Synchronisieren Sie die Zeit auf allen Systemen.
    Da Kerberos auf strikten Zeitfenstern basiert, werden Tickets abgelehnt, wenn die Uhren von Client, Server und Schlüsselverteilungszentrum nicht synchronisiert sind. Verwenden Sie NTP (Network Time Protocol), um alle Systeme zu synchronisieren.
  • Validieren Sie die DNS-Einträge.
    Da Kerberos stark auf DNS zur Auflösung von Dienstprinzipalnamen (SPNs) angewiesen ist, können falsch konfigurierte oder doppelte DNS-Einträge zu Authentifizierungsfehlern führen. Überprüfen Sie die DNS-Konfigurationen, um sicherzustellen, dass die Vorwärts- und Rückwärts-DNS-Lookups für Domänencontroller und Diensthosts korrekt aufgelöst werden.
  • Stellen Sie sicher, dass die SPNs eindeutig und korrekt sind.
    Da Dienste korrekt registrierte SPNs benötigen, führt ein fehlender oder doppelter SPN häufig zu dem Fehler „The target principal name is incorrect“ (Der Zielprinzipalname ist falsch). Um dies zu beheben, überprüfen Sie die SPNs, um sie zu validieren und korrekt zu registrieren.
  • Keytabs aktualisieren.
    Unter Linux/Unix verwenden Anwendungen häufig Keytab-Dateien für Dienstprinzipale. Wenn die Keytab fehlt, veraltet oder beschädigt ist, schlägt die Authentifizierung fehl. Überprüfen Sie die Keytab, generieren Sie sie mit dem korrekten Prinzipal neu und stellen Sie sie sicher bereit.
  • Abgelaufene Tickets erneuern oder löschen.
    Da Kerberos-Tickets nach einer bestimmten Zeit ablaufen, können Benutzer beim erneuten Anmelden den Zugriff verlieren, wenn sie abgelaufen sind. Überprüfen Sie die Ticketlebensdauer und das Caching und löschen und erneuern Sie Tickets bei Bedarf.
  • Domänenrichtlinien überprüfen.
    Falsche Domänenfunktionsebenen, Sicherheitsrichtlinien oder deaktiviertes Kerberos in Active Directory können die Authentifizierung blockieren. Um dies zu vermeiden, überprüfen Sie die Gruppenrichtlinie und die Domäne, überprüfen Sie die Ereignisprotokolle auf Kerberos-bezogene Fehler und passen Sie die Richtlinien an.
  • Anwendungskonfigurationen bestätigen.
    Einige Anwendungen erfordern die explizite Aktivierung von Kerberos. Überprüfen Sie die Anwendungs-/Dienstkonfigurationen, um sicherzustellen, dass die Anwendung für Kerberos konfiguriert ist und auf den richtigen Realm und KDC verweist.
Datum: 21. Januar 2026Lesezeit: 18 Minuten
Cybersicherheit

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt