Diskussion:Kerberos (Protokoll)
Realm
Kerberos wurde nicht von Microsoft erfunden. Daher ist die Ausschliesslichkeit der Aussage "Kerberos ist für ein realm zuständig..." etwas fragwürdig, da Kerberos schon lange existiert und erst seit kuerzerer Zeit in MS AD-Domänen eingesetzt wird.
- Realm ist der Kerberos-eigene Begriff für einen Bereich, für den ein Kerberos-Server zuständig ist. Er wird oft unter Windows mit einer Domäne gleichgesetzt. Unter Windows muster.dom, unter Kerberos dann MUSTER.DOM. Ein Realm kann sich aber auch auf andere Bereiche beziehen. Daher ist m. E. nach der Begrif Realm so nicht eine typischer Begriff für die Windows-Umgebung.
- --Heinz Ludszuweit
Implementierung für Windows
"MIT ... freie Implementierung ... für Unix und Linux." ist doch nur halb richtig. Auf http://web.mit.edu/kerberos/www/dist/ steht die Version 2.6.5 für Windows bereit. Richtig ist wohl, dass damit (soweit ich weiss) keine Authentifizierung für die "normale" Systemanmeldung möglich ist. Aber die automatische Einbindung von OpenAfs klappt tadellos und ohne doppelte Passworteingabe - sofern Kerberos Principal/Passwort und PDC Username/Passwort identisch sind.
Udo Burghardt
Formulierung ungünstig
"Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) zur Authentifizierung," ... Authentifizierungsdienst zur Authentifizierung? Kling ein bisschen überflüssig.
Michael Helmling
- Ich habe mir daher erlaubt, eine stilistische Änderung vorzunehmen.
- --Sender 19 23:59, 14. Apr. 2007 (CEST)
Version
Könnte bitte jemand mit Hintergrundwissen "Die Version 5 des Protokolls ist, im Gegensatz zu Version 4, in ASN.1 definiert. Kerberos 5 wird in RFC 4120 definiert." neu formulieren? So ist es nur unverständlich. 14:55, 20. Dez. 2006 (CET)
- Erledigt. Quelle: http://www.tm.uni-karlsruhe.de/itm/uploads/folien/124/ns02b-Kerberos-Teil2-2up1.pdf
- --Sender 19 00:07, 15. Apr. 2007 (CEST)
IMHO fehlen eine Bewertung bzw. eine Darstellung von Vor-/Nachteilen
- replay attacke unter Kerberos 4 - Kerberos 4 Ticket hat eine Gültigkeit von X Minuten (IMHO unter Kerberos 5 durch replay cache beseitigt )
- single point of failure (steht der Kerberos Server, funktioniert kein login - kann durch mehrere Kerberos Server abgewendet werden)
--DoJo 21:35, 25. Jan. 2007 (CET)
Zugriff auf die Schlüsseldatenbank
Kerberos Authentication-Server und Ticket Granting Server (TGS) haben beide Zugriff auf die Schlüsseldatenbank ihres Administrationsbereiches (Realm), sie kennen also beide alle Client- und Server-Schlüssel.
Imho braucht der TGS keinen Zugriff auf die Schlüssel der Clients zu haben. Er erhält ja im TGT einen Schlüssel, mit dem er die Kommunikation mit dem Client sichern kann. Da nur er und der Client diesen Schlüssel kennen ist der Client auch authentifiziert.Dadurch ist eine Replizierung der Benutzerdatenbank in einem Szenario, in dem Authentication Server (AS) und Ticket Granting Server (TGS) nicht am selben Ort stehen, nicht nötig. Insbesondere würde, bräuchte der TGS Zugriff auf die Benutzerdaten, die Inter-Domänen Authentifizierung Probleme bereiten.
Tom
- Genau, das Problem sehe ich auch. Vor allem muss der Kerberos Authentication-Server auch keinen Zugriff auf die Server Schlüssel haben, weil dann könnte er ja selber TGS spielen. --SyneX (Diskussion) 01:20, 21. Jun. 2012 (CEST)
Lemma
Sollte das Lemma hier nicht eher Kerberos (Netzwerkdienst) heißen? --Rohieb 会話 +/- 19:11, 30. Dez. 2007 (CET)
Bild unvollständig?
Hallo!
Nach dem Lesen der englischen Version des Artikels, denke ich, in dem Bild fehlt ein Kästchen:
KEY *tgs_session_key timestamp u_id
unterhalb von "3. Anfrage Service S". Entspricht Nachricht D im englischen Artikel. Ohne diese könnte jemand, der Nachricht 2 abgefangen hat, anstelle des Clients die Zugriffsrechte bekommen!
Gruß
Heiner
im Bild fehlt ein Kästchen
ich kann nur zustimmen - im Bild bei Schritt 3 fehlt der sogenannte Authenticator.
Franz-Georg
Geschichte
Folgendes fehlt noch ganz: Seit wann gibt es Kerberos? Wer hat es entwickelt? Wie ist es entstanden/weiterentwickelt worden? Hat da jemand eine Ahnung? --Chiccodoro 14:52, 4. Sep. 2008 (CEST)
- hab mal ergänzt, was ich weiss --Herbert Klaeren 19:57, 28. Jun. 2009 (CEST)
error/inaccuracy in picture
== Entschuldigung, ich hatte in Englisch geschrieben
Also: Ich denke, da ist ein Fehler/eine Unkorrektheit im Bild. Die blaue Box (Kerberos Authentication) zeigt, dass der Kerberos Authentication Server den User-Key (u_key) und den Server Key (s_key) kennt. Aber hier sollte tgs_key statt s_key stehen! Ok, der TGS ist auch bloss ein Server(Service). Aber wenn s_key in der blauen Box steht, bleibt unklar, wie der Kerberos Authentication Server die hellgruene Box mit dem tgs_key verschlüsseln kann, denn er kennt den tgs_key ja gar nicht!
Ein von mir korrigiertes Bild ist hier: http://vsr.informatik.tu-chemnitz.de/staff/jan/KERBEROS/kerberos.xhtml (nicht signierter Beitrag von 134.109.192.216 (Diskussion) 1. Juli 2009, 10:05)
- Willst du das korrigierte Bild nicht hier hochladen? Oder doch zumindest einem Wikipedianer erlauben, das zu tun, und dazu gleich auch mitteilen, unter welcher Lizenz du das Bild zur Verfügung stellst? --Herbert Klaeren
Ich weiss nicht wie! Selbstverstaendlich kann meine Korrektur in der Wikipedia benutzt werden! Ich waere froh, denn dann waere meine WEB-Seite überflüssig.
Übrigens: Ich habe jetzt auch noch die Aenderung von Heiner in das Bild eingebaut! Er hat naemlich recht: Der Klient schickt einen Timestamp und der TGS prueft die Zeit (+/- einer Toleranz von (meist) 5 Minuten). Davon kann ich als AFS-Nutzer "ein Lied singen". Dort wird prinzipiell mit Kerberos gearbeitet und immer nach der Sommer-/Winterzeitumstellung kann ich nicht mehr auf mein Filesystem zugreifen, weil die beim AFS-Kerberos-Server bereits umgestelt wurde, aber bei meinem Computer noch nicht.
-- Joerg Anders
Was die Lizenz betrifft: Ich habe jetzt zum Bild dazugeschrieben es steht unter der GNU-Lizenz für freie Dokumentation. Ich gehe davon aus, dass das ohnehin der Fall ist, weil ich ja nur das Wikipedia-Original verändert habe.(?) -- Joerg Anders (nicht signierter Beitrag von 134.109.192.216 (Diskussion | Beiträge) 10:40, 1. Jul 2009 (CEST))
Schematische Darstellung unverständlich
Hallo
Habe mich kürzlich mit dem Thema Kerberos beschäftigt. Die Grafik ist zwar korrekt, und wenn man das Prinzip mal verstanden hat, eine gute Referenz. Doch wenn man auf den Artikel kommt mit dem Gedanken "wie funktioniert das Ding eigentlich? Keine Ahnung. Muss komplex sein," dann wird einem tatsächlich ein sehr komplexes Ding präsentiert, mit relativ un-aufschlussreicher Beschreibung.
Hier würde wohl helfen, zuerst eine sehr vereinfachte Darstellung zu machen, und die zu erklären, bevor dann die vollständige Grafik kommt.
Ich weiss, ich weiss, warum mach nicht ich's? Hmm... Hab so wenig Zeit...
Gruss, --Chiccodoro 11:17, 2. Jul. 2009 (CEST)
- dem muss ich auch zustimmen. So eine Abhandlung ist zwar ganz schön, aber so recht versteht man das nicht wozu das gut sein soll. 85.180.225.44 01:35, 5. Dez. 2009 (CET)
- ganz meine Meinung. Ich habe den Artikel aufgeschlagen, um mir mal anzusehen, wie das prinzipiell funktioniert - aber jetzt bin ich so schlau, wie vorher... das gibt einfach keine Antwort auf die semantische Frage "WAS tut das?", sondern nur auf die syntaktische Frage "WIE tut es, was auch immer es tut?". Das erinnert an schlecht kommentierte Quellcodes. AlgorithMan (Diskussion) 09:54, 29. Jan. 2014 (CET)
- Was tut das ist IMHO eigentlich mit
Kerberos ist ein verteilter Authentifizierungsdienst
abgedeckt. Etwas genauer:Kerberos soll eine sichere und einheitliche Authentifizierung in einem ungesicherten TCP/IP-Netzwerk auf sicheren Hostrechnern bieten.
Aber vielleicht bringt den etwas einfacher verständlichen Satz von Prof. Klaeren da nochmal jemand etwas schöner unter.Kerberos dient dazu, sich in einem Netzwerk zu authentisieren, ohne dass Passwörter im Klartext durch die Gegend geschickt werden.
Hat aber absolut nichts mit der schematische Darstellung zu tun. Die will eben die Funktionsweise erklären (wo doch auch unter der Überschrift steht) --Fabiwanne (Diskussion) 17:50, 4. Feb. 2014 (CET)
- Was tut das ist IMHO eigentlich mit
und wozu genau ist kerberos jetzt gut?
da gerade bei meiner standard-suse 11.2 ein sicherheitsupdate für den kerberus-SERVER kam und ich keine unnötige software mag (insofern ist suse inzwischen das windows unter den linuxen *g*), frage ich mich, wozu ich den brauche. das wird im artikel nicht ganz klar. irgendwelcher netzwerk-anmeldekram. ok. und was genau ginge nicht mehr, wenn ich den deinstallieren würde? anwendungsbeispiele im artikel würden meine frage eventuell beantworten. :) -- 217.7.68.93 08:00, 19. Feb. 2010 (CET)
- Kerberos dient dazu, sich in einem Netzwerk zu authentisieren, ohne dass Passwörter im Klartext durch die Gegend geschickt werden. Ist also wirklich sicherheitsrelevant; ich würde nicht darauf verzichten. --Herbert Klaeren 20:47, 19. Feb. 2010 (CET)
- So etwas geht auch ohne Kerberos. Das entscheidende bei Kerberos ist, dass man eine dritte Instanz hat, die Man of the Middle Angriffe verhindert und auf dem Keyserver die Keys hinterlegt sind. --37.209.114.151 18:27, 29. Dez. 2018 (CET)
bild unvollstädnig
im bild in schritt 6 fehlt der timestamp, der zurückgesendet wird. --141.53.193.128 15:36, 6. Feb. 2015 (CET)