Authentifizierungsmethoden

Details zu den Authentifizierungsmethoden, die in XG Firewall verfügbar sind.

XG Firewall unterstützt sowohl NTLM- als auch Kerberos-Authentifizierung. Der Hauptunterschied besteht darin, wie die beiden Protokolle die Clientauthentifizierung handhaben.

Mit NTLM senden Clients die Anmeldeinformationen an XG Firewall, welche die Anmeldeinformationen an den AD-Server zur Prüfung sendet. Dieser Authentifizierungsvorgang erfordert den Austausch von drei Nachrichten.

Mit Kerberos senden Clients ein Ticket an XG Firewall, das validiert wird, ohne mit dem AD-Server zu sprechen. Dieser Authentifizierungsvorgang erfordert den Austausch von nur einer Nachricht.

Kerberos ist also schneller und verbraucht weniger Ressourcen. Dies ist jedoch nur in stark ausgelasteten Umgebungen zu bemerken.

Sie können XG Firewall so konfigurieren, dass Clients entweder nur NTLM oder Kerberos und NTLM angeboten werden. Sie können XG Firewall nicht so konfigurieren, dass nur Kerberos angeboten wird, da dies von der HTTP-Spezifikation nicht unterstützt wird. Der Client entscheidet, ob Kerberos oder NTLM verwendet wird. Clients, die Kerberos unterstützen, verwenden es lieber über NTLM, aber nur, wenn sie eine Verbindung zu Systemen herstellen, die vom AD-Server als zulässig erklärt wurden.

NTLM

NTLM ist ein Challenge-Response-Authentifizierungsprotokoll, das drei Nachrichten zur Authentifizierung von Clients verwendet.

  1. Clients richten einen Netzwerkpfad zum Server ein und senden eine NEGOTIATE_MESSAGE, in der sie ihre Fähigkeiten bekannt geben.
  2. Der Server antwortet mit CHALLENGE_MESSAGE, die zur Ermittlung der Identität von Clients verwendet wird.
  3. Clients reagieren auf die Anforderung mit einer AUTHENTICATE_MESSAGE.

Kerberos

Windows 2000 und neuere Versionen verwenden Kerberos als Standardauthentifizierungsmethode. Kerberos baut auf symmetrischer Schlüsselkryptographie auf und erfordert einen vertrauenswürdigen Drittanbieter. Optional kann es während bestimmter Authentifizierungsphasen Public-Key-Kryptographie verwenden.

Kerberos verwendet einen Zwei-Wege-Handshake, der einen Ausweis-Ausstellungsdienst verwendet, welcher als Key Distribution Center bezeichnet wird. Dies sind die Authentifizierungsschritte:

  1. Clients authentifizieren sich am Authentifizierungsserver (AS), der die Benutzernamen an ein Key Distribution Center (KDC) weiterleitet.
  2. Das KDC stellt eine Ausweisdatei (TGT, ticket-granting ticket) aus, fügt einen Zeitstempel hinzu, verschlüsselt sie mit dem geheimen Schlüssel des Ausweisdienstes (TGS, ticket-granting service) und gibt das verschlüsselte Ergebnis an die Workstation des Benutzers zurück. Dies geschieht selten, in der Regel bei der Benutzeranmeldung.

Das TGT läuft irgendwann ab, obwohl es von der Sitzungsverwaltung des Benutzers transparent erneuert werden kann, während dieser angemeldet ist.

Kerberos hat strenge Zeitanforderungen, was bedeutet, dass die Uhren der beteiligten Hosts innerhalb der konfigurierten Grenzen synchronisiert sein müssen. Die Tickets haben einen Verfügbarkeitszeitraum, und wenn die Uhr des Hosts nicht mit der Uhr des Kerberos-Servers synchronisiert ist, schlägt die Authentifizierung fehl. Die Standardkonfiguration erfordert, dass die Uhrzeiten nicht weiter als fünf Minuten auseinander sind.