a good thing!
Kerberos ist ein Authentifizierungsprotokoll für die Sicherheit in Computernetzwerken, für das kein Passwort erforderlich ist. Es wurde vom MIT (Massachusetts Institute of Technology) entwickelt, um Probleme der Netzwerksicherheit zu lösen. Es wird heute von vielen Unternehmen für das Single Sign-on (SSO) verwendet, um Daten der Benutzeridentität sicher an Anwendungen zu übertragen und erfüllt zwei wichtige Funktionen: Authentifizierung und Sicherheit.
Statt der gewohnten Passwörter arbeitet Kerberos mit einer starken, zeitlich begrenzten Kryptographie mit mehreren geheimen Schlüsseln und einem Drittanbieter-Dienst für die Authentifizierung von Client-Server-Anwendungen und Benutzeridentitäten. Mit der Konzipierung von Kerberos wollten MIT-Entwickler sowohl die Authentifizierung als auch die Autorisierung unterstützen, damit ein Benutzer nach seiner Authentifizierung gleichzeitig auch autorisiert wäre.
Kerberos ist ein komplexer Prozess am Backend, bietet dem Benutzer aber eine fast reibungslose Erfahrung am Frontend. Dieser Artikel befasst sich damit, wie Kerberos für den Benutzer aussieht, erläutert seine Bedeutung und gibt einen ausführlichen Einblick in seine Funktionsweise.
Die Mitarbeiter an verschiedenen Standorten von heute nutzen mehrere Geräte (Laptops, Smartphones, Tablets) und benötigen zu jeder Zeit und an jedem Ort Zugriff auf die Systeme ihres Unternehmen und die Apps von Drittanbietern. Es könnte einen beträchtlichen Zeitaufwand bedeuten, wenn sie sich bei jeder einzelnen Ressource separat anmelden und ihre Identität erneut nachweisen müssten. Durch die Verwendung von Kerberos werden die Mitarbeiter automatisch über SSO authentifiziert und erhalten Zugriff auf alle Ressourcen im Netzwerk und auf viele Systeme von Drittanbietern. Dies bedeutet, dass sie mit der Anmeldung an einem Gerät über dieses auch gleich mehrere Ressourcen zur Verfügung haben, ohne sich erneut authentifizieren zu müssen (es sei denn, sie haben den Ort gewechselt oder ein anderer Faktor hat sich verändert.)
BEISPIEL
Josh setzt sich pünktlich um 9 Uhr an seinen Schreibtisch. Er möchte sich nicht zu seinem 9-Uhr-Zoom-Termin verspäten, daher meldet er sich sofort bei seinem Computer an.
Da sein Unternehmen Kerberos verwendet, braucht er sich nicht extra bei Zoom einzuloggen. Er klickt einfach auf den Zoom-Link, wird automatisch authentifiziert und kann am Meeting teilnehmen.
Joshs Erfahrungen mit Kerberos lassen sich mit dem Umlegen eines Schalters vergleichen: Er weiß, er schaltet das Licht an, braucht aber nicht die genaue Funktionsweise zu kennen, um von der Helligkeit zu profitieren. Was bei Kerberos genau hinter den Kulissen geschieht, ist für Josh nicht von Bedeutung; für ihn zählt nur, dass seine Identität im Netzwerk sicher an verschiedene Systeme weitergegeben wird. Er freut sich über die Zeit, die er dadurch spart, dass er sich nicht bei jeder Anwendung separat anmelden muss.
Wie bereits erwähnt, hat das MIT Kerberos entwickelt, um das geschäftliche Problem zu lösen, rund um die Uhr sicheren Zugang zu Unternehmensressourcen von jedem zugelassenen Gerät aus zu ermöglichen. Kerberos ist sicher, weil Kennwörter niemals über das Netz übermittelt werden. Stattdessen kommen verschlüsselte private Codes zum Einsatz. Im Hintergrund authentifizieren sich alle Geräte und Systeme auf Anfrage automatisch gegenseitig, indem sie mehrere verschlüsselte private Codes mit dem Kerberos-Protokoll austauschen. Da während alldem niemals Verschlüsselungs-Codes zwischen dem Kunden und dem Dienst ausgetauscht werden, ist dieser Prozess sehr sicher. Nachfolgende Abfragen können schnell bearbeitet werden, da Kerberos den vorherigen Anmeldevorgang einfach mit dem im Cache des Browsers oder im Speicher des Geräts abgelegten Token wiederholt.
Das in Kerberos verwendete, befristete Token ist vergleichbar mit einer Kinokarte. Wenn jemand eine Kinokarte kauft, kauft er sie für einen bestimmten Film, der zu einer bestimmten Uhrzeit und an einem bestimmten Tag läuft. Dasselbe gilt für ein Authentifizierungstoken: Es kann nur für eine bestimmte Ressource, innerhalb eines festgelegten Zeitfensters an einem bestimmten Tag verwendet werden. Wenn das ursprüngliche Token abläuft, wird an seiner Stelle ein Refresh-Token gesendet, um das SSO weiterhin zu ermöglichen.
Die drei zentralen Entitäten von Kerberos
Die nachstehende Abbildung zeigt den Kommunikationsfluss zwischen den folgenden Entitäten: Benutzer/Client und AS (grüne Pfeile); Benutzer/Client und TGS (gelbe Pfeile); und Benutzer/Client und Anwendung/Server (orange Pfeile). Manche Nachrichten werden als Klartext gesendet, andere sind mit einem symmetrischen Schlüssel verschlüsselt, und wieder andere enthalten beides.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern