Die Funktionsweise von Kerberos
Änderungen beim Windows Server 2003
Beim Windows Server 2003 ist die Funktionalität von Kerberos deutlich erweitert worden. Einige dieser Änderungen sind sehr technisch. Ein umfassender Überblick findet sich unter www.microsoft.com/windowsserver2003/evaluation/overview/technologies/kerberos.mspx. Von den Änderungen ist aber eine im Zusammenhang mit der diskutierten Funktionalität von besonderem Interesse: Die so genannte Constrained Delegation, also die Einschränkung der Delegation. Außerdem gibt es in diesem Zusammenhang auch noch eine Protokollumsetzung, die einige Nutzungssituationen erleichtert.
Die erste der beiden neuen Funktionen, die Constrained Delegation oder eingeschränkte Delegation, ist ein Verfahren, bei dem in Service Tickets vom TGS (Ticket Granting Service) Informationen über die zulässigen Dienste eingebunden werden. Der Dienst, der ein Service Ticket für den Zugriff auf einen anderen Dienst im Kontext eines Benutzers verwendet, darf dadurch nur noch auf die vorgegebenen Dienste zugreifen. Bisher hat ein solcher Dienst das Ticket für Zugriffe auf jeden beliebigen Dienst nutzen können.
Durch die Einschränkung kann der Einsatzbereich von Service Tickets bei der Delegation besser gesteuert werden. Die Risiken durch Manin-the-Middle-Attacken auf Basis des Systems, das die Delegation durchführt, werden reduziert. Die zweite wesentliche Neuerung ist die Protokollumsetzung oder Protocol Transition. In den im ersten Artikel des Hefts beschriebenen Szenarien wird mit einem Browser gearbeitet. Der Internet Explorer unterstützt zwar Kerberos, andere Browser aber nicht unbedingt. Außerdem gibt es Einschränkungen bei Zugriffen von außerhalb des internen Netzwerks. Daher kann nun eine Umsetzung von Zugriffen mit SSL/TLS-Authentifizierung über das Web in Kerberos-Tickets beim Webserver – also den IIS – erfolgen. Der Einsatzbereich von Kerberos wird dadurch deutlich vergrößert.
Im Ergebnis sind dadurch alle wichtige Funktionen vorhanden, um Anwendungen mit Endto-End-Security zu realisieren – auf Basis eines Verfahrens, das zumindest in seinen Grundzügen durchaus einfach zu verstehen ist.
Kerberos-Whitepaper
Eine sehr umfassende Darstellung von Kerberos findet sich im Whitepaper „Windows 2000 Kerberos Authentication“. Dieses Whitepaper stellt zwar den Stand zum Releasezeitpunkt von Windows 2000 dar, ist als vertiefter Einstieg aber gut geeignet. Es wird mit der aktuellen CD-ROM von Expert’s inside Windows NT/2000 geliefert.