Was ist eine Authentifizierungskarte?
Eine Authentifizierungs -Ticket ist eine Sicherheitskomponente des Kerberos -Netzwerksicherheitsprotokolls. Es fungiert als ein Token, eine kleine Sammlung von Daten, die zwischen einem Client -Computer und einem Server übergeben wird, so dass die beiden Computer eine Identität zueinander erweisen können. Abgesehen von dieser gegenseitigen Netzwerkidentifikation beschreibt das Ticket auch die Berechtigungen, die der Client für den Zugriff auf den Server und seine Dienste hat, sowie eine Zeit, die für die Sitzung zugewiesen ist. Ein Ticket, das Ticket (TCT) (TGT), das ebenfalls als Ticket für Tickets bezeichnet wird, bezeichnet wird, ist das primäre Ticket, das ausgestellt wird, wenn der Client -Computer seine Identität zum ersten Mal festlegt. Diese Art von Ticket dauert in der Regel einen langen Zeitraum, über 10 oder mehr Stunden, und kann jederzeit in dem Zeitraum erneuert werden, in dem der Benutzer am Netzwerk angemeldet ist. Mit einem TGT kann der Benutzer einzelne Authentifizierungs -Tickets anfordern, um auf andere Server im Netzwerk zuzugreifen.
Ein Client-zu-Server-Ticket, das ebenfalls als Sitzungsticket bezeichnet wird, ist die zweite Form des Authentifizierungs-Tickets. Dies ist in der Regel ein kurzlebiges Ticket, das ausgehändigt wird, wenn ein Client auf einen Dienst auf einem bestimmten Server zugreifen möchte. Das Sitzungsticket enthält die Netzwerkadresse des Client -Computers, die Benutzerinformationen und eine Dauer, in der das Ticket gültig ist. In einigen Kerberos -Implementierungen, wie Microsoft's® Active Directory®, kann auch ein dritter Tickettyp, das als Empfehlungs -Ticket bezeichnet wird, verwendet werden. Dieser Ticketyp wird gewährt, wenn ein Client auf einen Server zugreifen möchte, der sich in einer Domäne befindet, die von seiner eigenen getrennt ist.
Die Art und Weise, wie das Kerberos -Ticket -Gewährungssystem funktioniert, erfolgt durch die Verwendung eines separaten Servers, der als Schlüsselverteilungszentrum (KDC) bezeichnet wird und das das gesamte Authentifizierungs -Ticketsystem bereitstellt. Diese Maschine hat zwei Unterkomponenten, von denen die erste als Authent bekannt istServer (AS). Die AS Bescheid über alle anderen Computer und Benutzer im Netzwerk und behalten eine Datenbank über ihre Passwörter. Wenn sich ein Benutzer im Netzwerk anmeldet, gewährt ihm der As ihm ein TGT.
An dem Punkt, an dem ein Benutzer irgendwo im Netzwerk auf einen Server zugreifen muss, verwendet er die zuvor angegebene TGT und fordert ein Serviceticket aus dem zweiten Teil des KDC, dem Ticket Granting Server (TGS), ein Service -Ticket an. Das TGS sendet ein Sitzungsticket an den Benutzer zurück, der es dann verwenden kann, um auf den von ihm angeforderten Server zugreifen zu können. Wenn der Server das Sitzungsticket empfängt, sendet er eine andere Nachricht an den Benutzer, der seine Identität überprüft und dass der Benutzer auf den angeforderten Dienst zugreifen darf. Im Falle eines Empfehlungs -Tickets ist ein zusätzlicher Schritt erforderlich, bei dem der KDC der Home -Domäne stattdessen ein Empfehlungs -Ticket erstellt, mit dem der Client Sitzungskarten von einem anderen KDC in einer anderen Netzwerkdomäne anfordern kann. Dieser gesamte Ticketgenerierungs- und -uhfreiprozess wird in jedem Schritt a verschlüsseltLange der Weg zum Schutz vor einem Angreifer löscht oder tarnt als Benutzer.
Der Hauptnachteil der Authentifizierungs -Ticketmethode ist die zentralisierte Struktur aller Autorisierungen. Wenn ein Angreifer es schafft, Zugriff auf den KDC zu erhalten, erhält er im Wesentlichen Zugriff auf alle Benutzeridentitäten und -kennwörter und kann dann jeden ausgeben. Sollte der KDC nicht verfügbar sein, könnte niemand das Netzwerk nutzen. Ein weiteres Problem sind die detaillierten Lebenszyklen der Tickets, die erfordern, dass alle Computer im Netzwerk ihre Uhren synchronisiert haben.