Kerberos-authentifizierungsverfahren, Kerberos-authentifizierung für hp smh – HP System Management Homepage-Software Benutzerhandbuch
Seite 46
group@REALM
(z. B [email protected]), Dienste nach dem Schema
service/FQDN@REALM
(z. B HTTP/[email protected] oder
host/[email protected]
).
Kerberos-Authentifizierungsverfahren
Wenn ein Benutzer auf gesicherte Dienste in einem Kerberos-Bereich zugreift, wird der folgende
Prozess ausgeführt.
Der Prozess wird nur gestartet, wenn der Benutzer sich an einem Kerberos-Bereich anmeldet und
erstmals auf einen mit Kerberos gesicherten Dienst zugreift.
1.
Der Benutzer meldet sich mit seinem Domänen-Benutzernamen und dem zugehörigen Kennwort
an seinem System (Client) an.
2.
Aus dem Kennwort des Benutzers wird ein Hash-Wert gebildet. Dieser Hash-Wert stellt den
geheimen Schlüssel des Benutzers dar.
3.
Wenn der Benutzer auf einen Dienst zuzugreifen versucht, wird dem Authentifizierungsserver
(AS) gemeldet, dass der Benutzer Zugriff auf diesen Dienst anfordert.
4.
Sofern der Benutzer in der AS-Datenbank gespeichert ist, werden zwei Meldungen an den
Client zurückgesendet:
a.
Ein Schlüssel für die Client/TGS-Session, verschlüsselt mit dem geheimen Schlüssel des
Benutzers, der bei der Kommunikation mit dem TGS verwendet wird.
b.
Ein Ticket-Granting Ticket (TGT), verschlüsselt mit dem geheimen Schlüssel des TGS. Tickets
werden bei Kerberos zum Identitätsnachweis genutzt. Anhand des TGT kann das Client
weitere Tickets für die Kommunikation mit Netzwerkdiensten anfordern.
5.
Nach dem Empfang dieser beiden Meldungen entschlüsselt der Client die Meldung, die den
Schlüssel für die Client/TGS-Sitzung beinhaltet.
Der folgende Prozess findet jedes Mal statt, wenn sich ein Benutzer gegenüber einem Dienst
authentifizieren möchte:
1.
Wenn der Benutzer einen Dienst anfordert, sendet der Client zwei Meldungen an den TGS:
•
Eine Meldung bestehend aus dem TGT und dem angeforderten Dienst
•
Einen Authenticator, der die Client-ID und den aktuellen Zeitstempel enthält, verschlüsselt
mit dem zuvor erhaltenen Schlüssel für die Client/TGS-Sitzung
Zeitstempel werden bei Kerberos verwendet, um Replikationsangriffe zu verhindern. Die
Zeitdifferenz zwischen den Systemen darf eine bestimmte Grenze nicht überschreiten.
2.
Der TGS entschlüsselt den Authenticator und sendet zwei neue Meldungen an den Client
zurück:
•
Das vom TGS empfangene Client-zu-Server-Ticket
•
Einen weiteren Authenticator, der die Client-ID und den aktuellen Zeitstempel enthält,
verschlüsselt mit dem Schlüssel für die Client/Server- Sitzung.
3.
Der Dienst entschlüsselt das Client-zu-Server-Ticket mit seinem eigenen geheimen Schlüssel
und sendet dem Client eine Meldung mit dem empfangenen Zeitstempel plus 1, wodurch seine
Identität bestätigt wird. Diese Meldung wird mit dem Schlüssel für die Client/Server- Sitzung
verschlüsselt.
4.
Der Client entschlüsselt die Meldung und überprüft den Zeitstempel. Falls dieser korrekt ist,
nimmt der Dienst Anforderungen entgegen und sendet die gewünschten Antworten zurück.
Kerberos-Authentifizierung für HP SMH
HP SMH bietet Kerberos Single Sign-On (SSO). Damit können Benutzer sich bei einem
Kerberos-Bereich anmelden, ohne zuvor auf der SeiteSign In (Anmelden) ihren Benutzernamen und
ihr Kennwort angeben zu müssen. Wenn ein zugelassener Benutzer auf HP SMH zugreift und über
gültige Kerberos-Anmeldedaten verfügt, wird die StartseiteHome in HP SMH angezeigt.
46
Die Seite „Settings“