Authentifizierung im Active Directory (Kerberos & NTLM)
1. Was bedeutet „Authentifizierung“?
Authentifizierung bedeutet: Ein System überprüft,
ob du wirklich die Person bist, für die du dich ausgibst.
Im Alltag:
Wenn du dich bei Windows anmeldest, prüft der Domänencontroller deine Identität.
Dazu fragt er nicht nur nach dem Benutzernamen und Kennwort,
sondern verwendet ein Protokoll, um sicherzustellen,
dass niemand das Passwort einfach „mitlesen“ kann.
Im Active Directory kommen zwei Verfahren vor:
| Verfahren | Beschreibung | Verwendung |
|---|---|---|
| Kerberos | Ticket-basiertes Verfahren, modern und sicher | Standard im AD (seit Windows 2000) |
| NTLM | Älteres Challenge-Response-Verfahren | Fallback, wenn Kerberos nicht funktioniert |
2. Warum Kerberos?
Kerberos ist ein Authentifizierungsprotokoll,
das auf einem sogenannten Ticket-System basiert.
Ein Benutzer gibt sein Passwort nie direkt preis,
sondern beweist über kryptografische Schlüssel,
dass er das Passwort kennt.
Das System stammt ursprünglich aus dem MIT-Projekt Athena
und wurde von Microsoft für Windows-Domänen angepasst.
Ziele:
Passwörter werden nie über das Netzwerk geschickt.
Der Benutzer kann sich mehrfach anmelden, ohne jedes Mal sein Passwort zu senden.
Anmeldungen lassen sich zentral prüfen und zeitlich begrenzen.
3. Ablauf der Kerberos-Anmeldung
Kerberos-Authentifizierung im Active Directory
Benutzer gibt Kennwort ein (nur lokal gehasht).
Prüft Identität und gibt Ticket Granting Ticket (TGT) zurück.
Speichert TGT, nutzt es später für Service-Tickets.
Stellt Service-Ticket für angeforderten Server aus.
Prüft Ticket und erlaubt Zugriff (z. B. Dateifreigabe).
Kerberos nutzt Tickets statt Passwörter – der Benutzer authentifiziert sich einmalig beim KDC, danach übergibt er nur noch verschlüsselte Nachweise.
Schritt-für-Schritt:
| Nr | Vorgang | Beschreibung |
|---|---|---|
| 1 | Benutzer meldet sich an | Der Benutzer gibt Benutzernamen & Passwort ein. |
| 2 | Client berechnet Hash | Das Passwort wird lokal gehasht (Einweg-Verschlüsselung). |
| 3 | Client fordert TGT an | Über Port 88 sendet der Client eine Anfrage an den KDC (Key Distribution Center). |
| 4 | KDC prüft Daten | Der Domänencontroller vergleicht den Hash mit der Datenbank. |
| 5 | KDC erstellt Ticket Granting Ticket (TGT) | Dieses Ticket bestätigt: „Dieser Benutzer ist echt.“ |
| 6 | Client speichert TGT | Das Ticket wird lokal gespeichert (max. 10 Stunden gültig). |
| 7 | Zugriff auf Server | Will der Benutzer z. B. auf \\fileserver zugreifen, fordert der Client beim KDC ein Service Ticket an. |
| 8 | Service Ticket prüfen | Der Zielserver prüft das Ticket, erlaubt Zugriff – fertig. |
4. Kerberos – wichtige Komponenten
| Komponente | Bedeutung | Beispiel |
|---|---|---|
| KDC (Key Distribution Center) | Dienst auf jedem Domänencontroller, stellt Tickets aus | läuft als Teil des AD-DS |
| AS (Authentication Service) | Teil des KDC, prüft Benutzer beim Anmelden | Anfrage für das erste TGT |
| TGS (Ticket Granting Service) | Teil des KDC, stellt Tickets für Dienste aus | Zugriff auf Datei- oder Druckserver |
| TGT (Ticket Granting Ticket) | Bestätigung, dass der Benutzer authentifiziert wurde | Wird im Speicher des Clients gehalten |
| Service Ticket | Ticket für den Zugriff auf bestimmte Dienste | z. B. CIFS (File Share) oder HTTP |
5. NTLM – der Fallback
Falls Kerberos nicht funktioniert (z. B. außerhalb der Domäne oder ohne Uhr-Synchronisation),
verwendet Windows NTLM.
NTLM basiert auf einem Challenge-Response-Verfahren:
Der Server schickt eine Zufallszahl (Challenge),
der Client berechnet mit dem Passwort-Hash eine Antwort,
und der Server vergleicht sie mit seinem eigenen Ergebnis.
Nachteil:
Der Server muss Passwort-Hashes speichern.
Angriffe durch Replay oder Rainbow-Tables sind möglich.
Darum: Nur noch für Alt-Systeme (SMBv1, alte Geräte).
6. Praxisbeispiel
Ein Benutzer Max.Mustermann meldet sich an einem Domänen-PC an.
Windows sendet eine Kerberos-Anfrage an den DC (
dc01).dc01prüft Benutzer & Passwort und gibt ein TGT aus.Max öffnet
\\fileserver01\projekte.Der Client fragt beim DC nach einem Service Ticket für den Dienst „CIFS“.
fileserver01prüft das Ticket, erlaubt Zugriff.Kein Passwort wurde über das Netz gesendet.
7. Fehlerquellen in der Praxis
| Problem | Ursache | Lösung |
|---|---|---|
| Anmeldung schlägt fehl („Clock Skew“) | Zeitdifferenz > 5 Minuten | NTP-Synchronisation prüfen |
| Zugriff auf Shares nur mit Passwortabfrage | Fällt auf NTLM zurück | Kerberos prüfen (klist, DNS, Zeit) |
| TGT läuft ab | Standardgültigkeit 10 Stunden | Ab-/Anmeldung oder klist purge |
| Externer Rechner (nicht in Domäne) | Kein Kerberos-Ticket möglich | Anmeldung lokal oder per NTLM |
8. Zusammenfassung
| Thema | Kernaussage |
|---|---|
| Kerberos | Ticket-basiertes Authentifizierungsprotokoll, Standard im AD |
| NTLM | Altes Challenge-Response-System, nur noch Fallback |
| KDC / AS / TGS | Dienste auf dem Domänencontroller, die Tickets ausstellen |
| Tickets | Zeitlich begrenzte Nachweise statt Passwortübertragung |
| Uhrzeit-Synchronisation | Für Kerberos zwingend notwendig (< 5 Minuten Differenz) |