Unterschied zwischen NT Lanmanager Version 2 und Kerberos

[schnarchzapfen 10]

Hallo, was mich schon immer mal interessiert hat ist, was der genaue Unterschied zwischen dem von Windows NT Systemen verwendeten Lanmanager und der vom ADS (W2k, W2k3) verwendeten Authentifizierungsmethode Kerberos ist?

 

Was für eine Authentifizierungsmethode unterstützen eigentlich Windows 9x Systeme?

Ändert die Installation des W9x ADS-Clients die vom W9x System unterstützte Authentifizierungsmethode?

 

Ändert sich die unterstützte Authentifiierungsmethode bei Windows NT Systemen durch die Installation von Service Packs bzw. Patches?

[Wäscherei 11]

Hallo,

 

meines Wissens ändert sich die Unterstützung durch Servicepacks von LAN MANAGER zu NTLM (NT Lanmanager) nach NTLMv2 (NT Lanmanager Version 2). LAN MAnager konnte nur Großbuchstaben und max 7 Zeichen unterstützen.

 

 

Kerberos

 

Bei KErberos gibt es 3 beteiligte Stellen, der Client, der Server und der Kerberos-Server. Der Kerberos-Server selbst authentifiziert sich gegenüber dem Client und Server und authentifiziert den Server gegenüber dem Client und den Client gegenüber dem Server. Dadurch werden Man-In-The-Middle-Angriffe vermieden. Kerberos verwendet sog. Tickets zur Authentifizierung. Der Client fordert vom Kerberos-Server ein sog. Ticket Granting Ticket (TGT) an. Hierzu muss der Benutzer ein Passwort eingeben. Um den Kerberos-Dienst nutzen zu können, muss sich ein Client zuerst beim Kerberos-Server anmelden. Mit dem TGT ist der Client in der Lage, weitere Tickets für Dienste anzufordern, ohne nochmal ein Passwort eingeben zu müssen. Es wird auch ein Sitzungsschlüssel für die Kommunikation zwischen Client und Kerberos-Server ausgehandelt. Sie können benutzt werden, um den Datenverkehr zu verschlüsseln.

Um einen Dienst, der Kerberos unterstützt, benutzen zu können, fordert der Nutzer ein weiteres Ticket an. Dieses Ticket sendet der Client dann an den Dienst, der überprüft, ob er dem Client den Zugriff gestatten soll. Auch hierbei wird ein Sitzungsschlüssel vereinbart und die Identität von Client, Server und Kerberos-Server überprüft.

Bei Kerberos4 wird als Chiffre nur DES unterstützt. Kerberos5 ist in der Lage, die verwendete Chiffre und das verwendete Prüfsummenverfahren auszuhandeln.

Ein Kerberos-Server ist für einen Realm zuständig, d.h. er verwaltet nur Konten, die zu seinem Realm gehören. Der Realm ist meist der DNS-Domänen-Namen in Großbuchstaben, etwa EXAMPLE.COM. Ein Rechner kann immer nur zu einem Realm gehören. Um auf Dienste in anderen Realms über Kerberos zugreifen zu können, müssen Vertrauensstellungen zwischen den einzelnen Realms hergestellt werden. So ist es möglich, dass ein Benutzer aus A.EXAMPLE.COM auf Dienste in B.EXAMPLE.COM zugreifen kann, ohne sich erneut authentifizieren zu müssen. Benutzer, Hosts und Dienste werden bei Kerberos über symmetrische Schlüssel authentifiziert. Dem Schlüssel ist ein Name, der Kerberos Principal, zugeordnet. Durch Kerberos werden insbesondere Angriffe durch passives Sniffing unterbunden, aber auch Spoofing, Wörterbuch, Replay und andere Angriffe werden erschwert. Damit ein Netzwerkdienst Kerberos nutzen kann, ist es nötig, dass der Dienst in der Lage ist, mit Kerberos-Tickets umzugehen. Auf dem Server und Client Host muss jeweils ein Kerberos-Client installiert und konfiguriert sein. Sowohl die Client- als auch die Server-Software muss Kerberos unterstützen. Für Kerberos5 müssen Client, Server und Kerberos-Server ein gemeinsames Verschlüsselungs- und Prüfsummenverfahren verwenden. Es gibt zwei unterschiedliche Arten von Kerberos-Unterstützung: Entweder Kerberos wird vollständig unterstützt oder der Client sendet dem Server den Kerberos-Principal und das Passwort im Klartext.

 

Ich hoffe das hat ein wenig weiter geholfen.