lecture: Kerberos und OTP

Nur einmal authentisiert - aber stark!

Event_large

Authentisierung an Computersystemen ist für Benutzer oft ein lästiges Übel. Abhilfe schaffen hier Single Sign On Systeme, indem sie dem Benutzer das Leben derart erleichtern, dass er sich nur einmal anmelden muss und danach an allen Systemen arbeiten kann.
Hier gibt es unterschiedliche Ansätze, um dieses Appliance-basiert oder speziell für Webanwendungen umzusetzen. So wird zur Authentisierung an verschiedenen Diensten im Unternehmensumfeld gerne das bereits in den 1980er Jahren am MIT entwickelte Kerberos eingesetzt. Die Authentisierung an einem Single Sign On System öffnet einem Benutzer das Tor zu allen verfügbaren Diensten, es liegt daher nahe, den Authentisierungsvorgang so sicher wie möglich zu gestalten. Dazu bietet sich die Nutzung von Mehrfaktorauthentisierung an.
In diesem Vortrag wird aufgezeigt, wie Kerberos mit der Nutzung von Einmalpasswort-Token (OTP) kombiniert werden kann.

Dieser Vortrag beschreibt die Authentisierung mit Kerberos und die damit verbundenen Herausforderungen bei Nutzung von OTP-Token.
Die Authentisierung mit Einmalpasswörtern war im Kerberos-Protokoll nie vorgesehen und daher technisch nicht ohne weiteres möglich.
Mit dem von RSA geschriebenen RFC6560 liegt zwar nach Jahren nun ein Standard vor, wie OTP bei der Authentisierung mit Kerberos verwendet werden kann, jedoch erweist sich dies scheinbar in vielen Fällen als wenig praktikabel.
Weiterhin wird betrachtet, wie die verschiedenen Implementierungen Heimdahl, MIT Kerberos, Samba4 oder Microsoft Active Directory dieses Thema angehen, um schließlich eine Lösungsmöglichkeit aus MIT Kerberos und dem freien Token-Authentisierungssystem LinOTP näher zu beschreiben.