Zum Hauptinhalt springen

3.6. The KRB_CRED Exchange (Der KRB_CRED-Austausch)

3.6. The KRB_CRED Exchange (Der KRB_CRED-Austausch)

Overview (Überblick)

Die Nachricht KRB_CRED dient dazu, Kerberos-Credentials (Tickets und Session Keys) von einem Principal an einen anderen weiterzuleiten. Damit sind Delegationsszenarien möglich, in denen ein Dienst im Namen eines Clients handeln muss.

Purpose (Zweck)

KRB_CRED wird eingesetzt für:

  • Weiterleitung von Credentials
  • Delegation von Authentifizierungsrechten
  • Übergabe von Tickets zwischen Systemen
  • Unterstützung von Credential-Caching

Message Structure (Nachrichtenaufbau)

KRB_CRED enthält:

  • eines oder mehrere Tickets
  • zugehörige Session Keys und Metadaten (verschlüsselt)
  • optional einen Zeitstempel
  • optionale Absender- und Empfängeradressen

Generation of KRB_CRED Message (Erzeugung der KRB_CRED-Nachricht)

Absender:

  1. Wählt die weiterzuleitenden Tickets und Credentials
  2. Verschlüsselt sensible Informationen (Session Keys usw.)
  3. Verpackt Tickets mit den verschlüsselten Credential-Informationen
  4. Sendet die KRB_CRED-Nachricht

Receipt of KRB_CRED Message (Empfang der KRB_CRED-Nachricht)

Empfänger:

  1. Entschlüsselt die Credential-Informationen
  2. Prüft den Zeitstempel, falls vorhanden
  3. Speichert Tickets und Session Keys für spätere Nutzung
  4. Kann die weitergeleiteten Credentials zur Authentifizierung gegenüber Diensten verwenden

Security Considerations (Sicherheitsaspekte)

  • Credentials sollten nur über sichere Kanäle weitergeleitet werden
  • Der Empfänger muss vertrauenswürdig sein, Credentials angemessen zu nutzen
  • Weitergeleitete Credentials können eingeschränkte Fähigkeiten haben (siehe Ticket-Flags)
  • Der Zeitstempel bietet gewissen Replay-Schutz

Use Cases (Anwendungsfälle)

  • Authentication Forwarding (Authentifizierungsweiterleitung): Benutzer meldet sich am entfernten System an, Credentials werden für lokale Nutzung weitergeleitet
  • Service Delegation (Dienstdelegation): Webserver erhält Credentials, um im Namen des Benutzers auf die Backend-Datenbank zuzugreifen
  • Credential Caching: Zwischenspeicherung von Credentials für spätere Verwendung

Reference (Referenz)

Vollständige technische Details finden sich in RFC 4120 Abschnitt 3.6.

Letztes Update am