3.1. The Authentication Service Exchange (Der Authentication-Service-Austausch)
3.1. The Authentication Service Exchange (Der Authentication-Service-Austausch)
Überblick
Der Authentication Service (AS)-Austausch ist die erste Interaktion zwischen einem Client und dem Kerberos-System. Er führt dazu, dass der Client ein Ticket-Granting Ticket (TGT) erhält, das für nachfolgende Ticketaanfragen verwendet werden kann.
Nachrichtenfluss
- KRB_AS_REQ: Der Client sendet eine Authentifizierungsanfrage an den AS
- KRB_AS_REP: Der AS antwortet mit TGT und Session Key (verschlüsselt mit dem Schlüssel des Clients)
- KRB_ERROR: Wird zurückgegeben, wenn die Anfrage nicht erfüllt werden kann
Wesentliche Bestandteile
Erzeugung der KRB_AS_REQ-Nachricht
Der Client erstellt eine Anfrage mit:
- Principal-Name
- Realm
- angeforderten Ticket-Optionen
- Zeitstempel (für Pre-Authentication)
- Präferenzen für Verschlüsselungstypen
Empfang und Verarbeitung
Der AS prüft die Anfrage und kontrolliert:
- ob der Principal in der Datenbank existiert
- Anforderungen an Pre-Authentication
- Richtlinienbeschränkungen
- angeforderte Optionen
Erzeugung der KRB_AS_REP-Nachricht
Ist die Anfrage gültig, erstellt die AS-Antwort mit:
- TGT (verschlüsselt mit dem Schlüssel des TGS)
- Session Key (verschlüsselt mit dem Schlüssel des Clients)
- Ticket-Ablaufzeiten
Fehlerbehandlung
Kann die Anfrage nicht erfüllt werden, wird eine KRB_ERROR-Nachricht mit geeignetem Fehlercode zurückgegeben.
Sicherheitsaspekte
- Der Langzeitschlüssel des Clients schützt die AS-Antwort
- Pre-Authentication kann verlangt werden, um Offline-Wörterbuchangriffe zu verhindern
- Der Zeitstempel in der Anfrage dient dem Replay-Schutz
Zugehörige Unterabschnitte
- 3.1.1. Erzeugung der KRB_AS_REQ-Nachricht
- 3.1.2. Empfang der KRB_AS_REQ-Nachricht
- 3.1.3. Erzeugung der KRB_AS_REP-Nachricht
- 3.1.4. Erzeugung der KRB_ERROR-Nachricht
- 3.1.5. Empfang der KRB_AS_REP-Nachricht
- 3.1.6. Empfang der KRB_ERROR-Nachricht
Referenz
Vollständige technische Details finden sich in RFC 4120 Abschnitt 3.1.