Kerberos

Kerberos is een authenticatieprotocol dat gebruikmaakt van tickets om identiteiten te bewijzen in een netwerk. Het is ontworpen om wachtwoorden nooit over het netwerk te sturen. Kerberos is de standaard voor authenticatie in Active Directory-omgevingen.

Hoe het werkt

  1. Gebruiker logt in en vraagt een Ticket Granting Ticket (TGT) aan bij de KDC
  2. De KDC (Key Distribution Center) geeft een versleuteld TGT terug
  3. Gebruiker gebruikt het TGT om service-tickets aan te vragen voor specifieke diensten
  4. De dienst accepteert het service-ticket als bewijs van identiteit

Het wachtwoord wordt alleen lokaal gebruikt om de TGT te ontsleutelen — het gaat nooit over het netwerk.

Onderdelen

  • KDC — centrale server met Authentication Service en Ticket Granting Service
  • Principal — unieke identiteit in Kerberos (gebruiker, service of host)
  • Realm — Kerberos-domein (bijv. BEDRIJF.NL)

Linux en Kerberos

Linux-systemen kunnen lid worden van een Kerberos-realm via sssd en pam_krb5, waarmee gebruikers met hun domeinaccount kunnen inloggen.

Zie ook

  • ldap — directoryservice die vaak met Kerberos wordt gecombineerd
  • pam — authenticatie-integratie op Linux
  • ssh-sleutels — alternatief voor wachtwoordloze authenticatie
  • tls — vergelijkbaar principe van vertrouwde sleutels
beveiligingnetwerk