Dieser Abschnitt enthält Informationen zur
Kerberos-Authentifizierung und zu Web Services Security-Konzepten.
Konzepte
- Kerberos-Konfigurationsdatei
- Die Konfigurationsdatei enthält Informationen, die für Authentifizierung und Zugriff wichtig
sind. Die Datei enthält das Realm und die Position des Key-Distribution-Center (KDC), unterstützte
Verschlüsselungstypen und die Position der Chiffrierschlüsseldatei. Clients verwenden die
Konfigurationsdatei zur Authentifizierung mit dem KDC und zur Anforderung des Zugriffs auf
vernetzte Services.
Gesicherte Kerberos-Services verwenden die Konfigurationsdatei außerdem zur
Lokalisierung der Chiffrierschlüsseldatei, die den zugeordneten privaten Schlüssel enthält.
- Kerberos-Chiffrierschlüsseldatei
- Die Chiffrierschlüsseldatei enthält den Principal und den verschlüsselten privaten Schlüssel,
der dem Principal zugeordnet ist. Die Chiffrierschlüsseldatei wird durch Exportieren eines
Principals aus dem Key-Distribution-Center erstellt. Mithilfe der Chiffrierschlüsseldatei kann ein
Service die Authentizität eines Clients prüfen und eine Authentifizierung bereitstellen, ohne
Verbindung mit dem Key-Distribution-Center aufnehmen zu müssen.
- Key-Distribution-Center (KDC)
- Im Key-Distribution-Center werden Benutzer- und Service-Principals mit ihren zugehörigen
Schlüsseln gespeichert. Der Schlüssel wird entweder aus einem Benutzernamen und einem Kennwort oder
aus einem Servicenamen und einem Kennwort gebildet. Das Key-Distribution-Center stellt auch einen
Authentifizierungsserver und einen Server, der Tickets ausstellt, bereit.
- Principals
- Vernetzte Benutzer und Services sind als Principals bekannt. Sie führen Authentifizierungen mit
einem Key-Distribution-Center (KDC) durch.
- Realm
- Der eindeutige Steuerungsbereich, der vom Key-Distribution-Center bereitgestellt wird. Laut
Konvention ist das Realm der DNS-Domänenname, der in Großbuchstaben umgewandelt wird.
- Service Principal Name (SPN)
- Der Service Principal Name stellt einen eindeutigen vernetzten Service dar.
Damit ein Client
einen gesicherten Kerberos-Service verwenden kann, muss er eine Authentifizierung mit einem
Key-Distribution-Center durchführen und den SPN für den Service angeben. Der Ticket-Server stellt
ein Ticket an den Client aus, das es diesem ermöglicht, sich selbst bei dem Service zu
authentifizieren.