Authentifizierungsmethoden
Details zu den in der Sophos Firewall verfügbaren Authentifizierungsmethoden.
Die Sophos Firewall unterstützt sowohl NTLM (NT LAN Manager) als auch Kerberos-Authentifizierung. Der Hauptunterschied besteht in der Art und Weise, wie die beiden Protokolle die Client-Authentifizierung handhaben.
Mit NTLM senden Clients ihre Anmeldeinformationen an die Sophos Firewall, die diese zur Überprüfung an den AD-Server sendet. Dieser Authentifizierungsprozess erfordert den Austausch von drei Nachrichten.
Mit Kerberos senden Clients ein Ticket an die Sophos Firewall, das ohne Kommunikation mit dem AD-Server validiert wird. Für diesen Authentifizierungsprozess ist nur der Austausch einer einzigen Nachricht erforderlich.
Kerberos ist also schneller und verbraucht weniger Ressourcen. Dies ist in Umgebungen mit Hunderten gleichzeitigen Benutzern besonders wichtig. Wenn Verwenden Sie die AD SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern ist eingeschaltet in Authentifizierung > Web-Authentifizierungkann sich die Anzahl der Authentifizierungsanfragen vertausendfachen. Obwohl NTLM technisch unterstützt wird, ist Kerberos für die meisten Umgebungen erforderlich.
Sie können die Sophos Firewall so konfigurieren, dass Clients nur NTLM oder sowohl Kerberos als auch NTLM angeboten werden. Sie können die Sophos Firewall nicht so konfigurieren, dass nur Kerberos angeboten wird, da dies von der HTTP-Spezifikation nicht unterstützt wird. Der Client entscheidet, ob Kerberos oder NTLM verwendet wird. Clients, die Kerberos unterstützen, bevorzugen Kerberos gegenüber NTLM, jedoch nur, wenn sie sich mit Systemen verbinden, die vom AD-Server als gültig eingestuft werden.
Notiz
Bei Verwendung von NTLM oder Kerberos leitet die Firewall den Datenverkehr im transparenten Modus zur Authentifizierung an Port 8091 um.
NTLM
NTLM, auch bekannt als Windows Challenge-Response, ist eine Reihe von Sicherheitsprotokollen, die Benutzern Authentifizierung, Integrität und Vertraulichkeit bieten. Es ist das Authentifizierungsprotokoll, das in Netzwerken mit Windows-Betriebssystemen und eigenständigen Systemen verwendet wird.
Es verwendet einen verschlüsselten Challenge-Response-Mechanismus zur Authentifizierung von Clients ohne Übermittlung eines Kennworts. Die Anmeldeinformationen bestehen aus einem Domänennamen, einem Benutzernamen und einem Einweg-Hash des Benutzerkennworts, die durch einen interaktiven Authentifizierungsprozess abgerufen werden. Das System, das die Authentifizierung anfordert, muss eine Berechnung durchführen, die den Zugriff auf die gesicherten NTLM-Anmeldeinformationen nachweist.
Zur Authentifizierung der Clients werden drei Nachrichten verwendet:
- Clients richten einen Netzwerkpfad zum Server ein und senden eine NEGOTIATE_MESSAGE, in der sie ihre Fähigkeiten bekannt geben.
- Der Server antwortet mit CHALLENGE_MESSAGE, die zur Feststellung der Identität der Clients verwendet wird.
- Clients antworten auf die Herausforderung mit einer AUTHENTICATE_MESSAGE.
Die Sophos Firewall unterstützt Single Sign-On (SSO) für NTLM-Benutzer. Da NTLM jedoch eine browserinitiierte Authentifizierungsmethode ist, hat sie eine niedrigere Priorität als andere Authentifizierungsmethoden, beispielsweise die folgenden:
- Allgemeiner Authentifizierungsclient
- Clientloses Single Sign-On
- Clientbasiertes Single Sign-On
NTLM wird als Fallback verwendet, wenn eine der oben genannten Authentifizierungsmethoden fehlschlägt. Wenn auch NTLM fehlschlägt, wird das Captive Portal zur Benutzerauthentifizierung angezeigt. Informationen zur Behebung von NTLM-Authentifizierungsfehlern finden Sie unter Fehlerbehebung bei der Authentifizierung.
Kerberos
Windows 2000 und neuere Versionen verwenden Kerberos als Standardauthentifizierungsmethode. Kerberos basiert auf symmetrischer Schlüsselkryptografie und erfordert einen vertrauenswürdigen Drittanbieter. Optional kann in bestimmten Authentifizierungsphasen Public-Key-Kryptografie verwendet werden.
Kerberos verwendet einen bidirektionalen Handshake mithilfe eines Ticket-Granting-Dienstes, einem sogenannten Key Distribution Center. Die Authentifizierungsschritte sind wie folgt:
- Clients authentifizieren sich gegenüber dem Authentication Server (AS), der die Benutzernamen an ein Key Distribution Center (KDC) weiterleitet.
- Der KDC stellt ein Ticket-Granting-Ticket (TGT) aus, fügt einen Zeitstempel hinzu, verschlüsselt es mit dem geheimen Schlüssel des Ticket-Granting-Service (TGS) und gibt das verschlüsselte Ergebnis an die Arbeitsstation des Benutzers zurück. Dies geschieht selten, typischerweise bei der Benutzeranmeldung.
Das TGT läuft irgendwann ab, kann aber vom Sitzungsmanager des Benutzers während der Anmeldung transparent erneuert werden.
Kerberos hat strenge Zeitanforderungen. Das bedeutet, dass die Uhren der beteiligten Hosts innerhalb der konfigurierten Grenzen synchronisiert sein müssen. Die Tickets haben einen zeitlichen Verfügbarkeitszeitraum. Wenn die Hostuhr nicht mit der Kerberos-Serveruhr synchronisiert ist, schlägt die Authentifizierung fehl. Die Standardkonfiguration erfordert, dass die Uhrzeiten maximal fünf Minuten auseinander liegen.
Weitere Ressourcen