Allgemeiner Überblick zur Kerberos-Benutzerauthentifizierung in Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 217098 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D217098
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
217098 Basic Overview of Kerberos User Authentication Protocol in Windows 2000
Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beschreibt die Kerberos-Benutzerauthentifizierung in Windows 2000.

Beachten Sie, dass Windows 2000 bezüglich der Authentifizierung vollständig abwärtskompatibel ist. Die Informationen in diesem Artikel beziehen sich auf die Kerberos-Benutzerauthentifizierung in einer reinen Windows 2000-Umgebung, d.h. auf die Authentifizierung zwischen Windows 2000-Servern und Windows 2000-Clients.

Weitere Informationen

Windows 2000 bietet Unterstützung für die Authentifizierung mit Kerberos V.5, das am MIT entwickelt wurde, wie im RFC-Dokument 1510 der IETF definiert. Das Kerberos-Protokoll setzt sich aus drei Teilprotokollen zusammen. Das Teilprotokoll, über das das Schlüsselverteilungscenter (Key Distribution Center, KDC) dem Client einen Anmeldesitzungsschlüssel und ein TGT (Ticket Granting Ticket) erteilt, wird als Authentifizierungdienst (Authentication Service Exchange, AS Exchange) bezeichnet. Das Teilprotokoll, über das das KDC einen Dienstsitzungsschlüssel und ein Ticket für den Dienst erteilt, wird als Ticketdienst (Ticket Granting Service, TGS Exchange) bezeichnet. Das Teilprotokoll, über das der Client das Ticket für den Zugang zu einem Dienst sendet, wird als Client/Server-Dienst (CS Exchange) bezeichnet.

Im Folgenden finden Sie einen Überblick über den Kommunikationsverlauf zwischen einer Client-Arbeitsstation und einem Ressourcenserver bei einer Kerberos-Authentifizierungssitzung.

  1. Authentifizierungsdienst (AS-Exchange)
    1. Benutzer A meldet sich auf einer Microsoft Windows 2000 Professional-Arbeitsstation bei einem Microsoft Windows 2000-Netzwerk an, indem er seinen Benutzernamen und das Kennwort eingibt. Der Kerberos-Client, der auf der Arbeitsstation des Benutzers A ausgeführt wird, konvertiert das Kennwort in einen Verschlüsselungsschlüssel und speichert das Ergebnis in einer Programmvariable.
    2. Der Kerberos-Client sendet eine Nachricht des Typs KRB_AS_REQ (Kerberos-Authentifizierungsserveranforderung) an das KDC. Diese Nachricht besteht aus zwei Teilen:
      • Aus einer Identifikation des Benutzers A und dem Dienst, für den der Benutzer Anmeldeinformationen anfordert, der Ticketdienst (TGS)
      • Aus Vorauthentifizierungsdaten, die nachweisen sollen, dass das Kennwort des Benutzers A authentisch ist. Dabei handelt es sich um eine Echtheitsbestätigung, die mit dem Hauptschlüssel des Benutzers A verschlüsselt ist. Der Hauptschlüssel wird generiert, indem das Kennwort des Benutzers A über ein OWF ausgeführt wird.
    3. Das KDC sucht den Benutzer A nach dem Eingang der Anforderung KRB_AS_REQ des Benutzers A in seiner Datenbank (dem Active Directory), ruft den Hauptschlüssel des Benutzers ab, entschlüsselt die Vorauthentifizierungsdaten und prüft den enthaltenen Zeitstempel. Wenn der Zeitstempel die Prüfung erfolgreich besteht, kann das KDC sicher sein, dass die Vorauthentifizierungsdaten mit dem Hauptschlüssel des Benutzers A verschlüsselt wurden und nicht nur einfach wiedergegeben wurden.
    4. Nachdem das KDC die Identität des Benutzers A überprüft hat, erstellt das KDC Anmeldeinformationen, die das Clientprogramm auf der Arbeitsstation des Benutzers dem Ticketdienst (TGS) übergeben kann. Die Anmeldeinformationen werden wie folgt erstellt und bereitgestellt:
      • Ein vollkommen neuer Anmeldesitzungsschlüssel, der mit dem Hauptschlüssel des Benutzers A verschlüsselt ist, wird erstellt.
      • Eine zweite Kopie des Anmeldesitzungsschlüssels und der Authentifizierungsdaten des Benutzers A wird in einem TGT (Ticket Granting Ticket) bereitgestellt, das mit dem Hauptschlüssel des KDC verschlüsselt ist.
      • Anschließend sendet das KDC diese Anmeldeinformationen an den Client zurück, indem es dem Client mit einer Nachricht des Typs KRB_AS_REP (Kerberos-Authentifizierungsantwort) antwortet.
      • Wenn der Client die Antwort empfängt, entschlüsselt er den Anmeldesitzungsschlüssel mit Hilfe des Hauptschlüssels des Benutzers A. Der Sitzungsschlüssel wird anschließend im Ticket-Cache der Client-Arbeitsstation gespeichert. Das TGT wird aus der Nachricht extrahiert und ebenfalls im Cache-Speicher abgelegt.
  2. Ticketdienst (TGS-Exchange)
    1. In dieser Phase fordert der Kerberos-Client, der auf der Arbeitsstation des Benutzers A ausgeführt wird, die eigentlichen Anmeldeinformationen für den Zugriff auf den Zielserver B an, indem er eine Nachricht des Typs KRB_TGS_REQ (Kerberos-Ticketdienstanforderung) an das KDC sendet. Diese Nachricht besteht aus den folgenden Komponenten:
      • Aus der Identität des Zieldienstes, für den der Client die Anmeldeinformationen anfordert
      • Aus der Echtheitsbestätigung, die mit dem Anmeldesitzungsschlüssel des Benutzers verschlüsselt wurde
      • Aus dem TGT, das von AS-Exchange erteilt wurde
    2. Das KDC entschlüsselt das TGT mit seinem Hauptschlüssel und extrahiert den Anmeldesitzungsschlüssel des Benutzers A. Der Anmeldesitzungsschlüssel des Benutzers A wird zum Entschlüsseln der Echtheitsbestätigung von A verwendet. Wenn die Echtheitsbestätigung die Prüfung erfolgreich besteht, erstellt das KDC einen neuen Sitzungsschlüssel, den A und B gemeinsam nutzen können. Zwei Kopien dieses neuen Sitzungsschlüssels werden dem Benutzer A in einer Nachricht zurückgesendet, die wie folgt verschlüsselt wird:
      • Eine Kopie wird mit dem Anmeldesitzungsschlüssel des Benutzers A verschlüsselt.
      • Die zweite Kopie wird mit dem Hauptschlüssel des Zielservers in einem Ticket mit den Authentifizierungsdaten von A verschlüsselt.
    3. Der Benutzer A entschlüsselt den Sitzungsschlüssel des Zielservers mit seinem Anmeldesitzungsschlüssel und speichert den Sitzungsschlüssel gemeinsam mit dem Ticket des Zielservers in seinem Cache-Speicher.
  3. Client/Server-Dienst (CS-Exchange)
    1. Der Kerberos-Client des Benutzers A kann nun vom Zielserver B authentifiziert werden. Der Client des Benutzers A sendet B eine Nachricht des Typs KRB_AP_REQ (Kerberos-Anwendungsanforderung). Diese Nachricht enthält Folgendes:
      • Eine Echtheitsbestätigung, die mit dem Sitzungsschlüssel für B verschlüsselt ist
      • Das Ticket für Sitzungen mit B, das mit dem Hauptschlüssel von B verschlüsselt ist
      • Ein Flag, das anzeigt, ob der Client eine gegenseitige Authentifizierung anfordert
    2. B entschlüsselt das Ticket und extrahiert die Authentifizierungsdaten von A sowie den Sitzungsschlüssel. B entschlüsselt die Echtheitsbestätigung von A mit dem Sitzungsschlüssel und prüft den Zeitstempel. Wenn die Echtheitsbestätigung die Prüfung erfolgreich besteht, sucht B nach einem Flag für gegenseitige Authentifizierung. Falls dieses Flag gesetzt ist, verwendet B den Sitzungsschlüssel, um die Zeitangabe der Echtheitsbestätigung von A zu verschlüsseln und sendet das Ergebnis in einer Nachricht des Typs KRB_AP_REP (Kerberos-Anwendungsantwort) zurück an A.
    3. A entschlüsselt die Antwort mit dem Sitzungsschlüssel. Wenn die Echtheitsbestätigung mit der Echtheitsbestätigung übereinstimmt, die A an B gesendet hat, kann der Client sicher sein, dass es sich bei dem Server um einen echten Server handelt. Die Verbindungsherstellung wird fortgesetzt.


Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 217098 - Geändert am: Montag, 12. Januar 2004 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbinfo kbnetwork KB217098
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com