Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=authentication-methods

Authentifizierungsmethoden

Details zu den in der Sophos Firewall verfügbaren Authentifizierungsmethoden.

Die Sophos Firewall unterstützt sowohl NTLM (NT LAN Manager) als auch Kerberos-Authentifizierung. Der Hauptunterschied liegt in der Art und Weise, wie die beiden Protokolle die Client-Authentifizierung handhaben.

Bei NTLM senden Clients ihre Anmeldeinformationen an die Sophos Firewall, die diese zur Überprüfung an den AD-Server weiterleitet. Dieser Authentifizierungsprozess erfordert den Austausch von drei Nachrichten.

Bei Kerberos senden Clients ein Ticket an die Sophos Firewall, das validiert wird, ohne dass eine Kommunikation mit dem AD-Server stattfindet. Dieser Authentifizierungsprozess erfordert den Austausch von nur einer Nachricht.

Kerberos ist also schneller und ressourcenschonender. Dies ist besonders in Umgebungen mit Hunderten gleichzeitiger Benutzer von Bedeutung. Verwenden Sie die AD-SSO-Authentifizierung pro Verbindung für Hosts mit mehreren Benutzern. ist eingeschaltet in Authentifizierung > Webauthentifizierung: Die Anzahl der Authentifizierungsanfragen kann sich dadurch um das Tausendfache erhöhen. NTLM wird zwar technisch unterstützt, Kerberos ist jedoch für die meisten Umgebungen erforderlich.

Sie können die Sophos Firewall so konfigurieren, dass sie Clients entweder nur NTLM oder sowohl Kerberos als auch NTLM anbietet. Eine ausschließliche Kerberos-Konfiguration ist nicht möglich, da dies von der HTTP-Spezifikation nicht unterstützt wird. Der Client entscheidet selbst, ob er Kerberos oder NTLM verwendet. Clients, die Kerberos unterstützen, bevorzugen dieses Protokoll gegenüber NTLM, jedoch nur bei Verbindungen zu Systemen, die vom Active Directory-Server als gültig eingestuft werden.

Notiz

Bei Verwendung von NTLM oder Kerberos leitet die Firewall den Datenverkehr im transparenten Modus zur Authentifizierung an Port 8091 um.

NTLM

NTLM, auch bekannt als Windows Challenge-Response, ist eine Sammlung von Sicherheitsprotokollen, die Benutzern Authentifizierung, Integrität und Vertraulichkeit bieten. Es ist das Authentifizierungsprotokoll, das in Netzwerken mit Windows-Betriebssystemen und auf eigenständigen Systemen verwendet wird.

Es verwendet einen verschlüsselten Challenge-Response-Mechanismus zur Authentifizierung von Clients, ohne dass ein Passwort übermittelt werden muss. Die Anmeldeinformationen bestehen aus einem Domänennamen, einem Benutzernamen und einem Einweg-Hash des Benutzerpassworts, der durch einen interaktiven Authentifizierungsprozess ermittelt wird. Das authentifizierende System muss eine Berechnung durchführen, die den Zugriff auf die gesicherten NTLM-Anmeldeinformationen nachweist.

Es verwendet drei Nachrichten zur Authentifizierung von Clients:

  1. Clients stellen eine Netzwerkverbindung zum Server her und senden eine NEGOTIATE_MESSAGE, um ihre Fähigkeiten bekannt zu geben.
  2. Der Server antwortet mit einer CHALLENGE_MESSAGE, die zur Identifizierung der Clients dient.
  3. Clients antworten auf die Herausforderung mit einer AUTHENTICATE_MESSAGE.

Die Sophos Firewall unterstützt Single Sign-On (SSO)-Authentifizierung für NTLM-Benutzer. Da NTLM jedoch eine browserbasierte Authentifizierungsmethode ist, hat sie eine niedrigere Priorität als andere Authentifizierungsmethoden, wie beispielsweise die folgenden:

  • Allgemeiner Authentifizierungsclient
  • Clientloses Single Sign-On
  • Clientbasiertes Single Sign-On

NTLM wird als Ausweichverfahren verwendet, falls eine der oben genannten Authentifizierungsmethoden fehlschlägt. Schlägt auch NTLM fehl, wird das Captive Portal zur Benutzerauthentifizierung angezeigt. Informationen zur Fehlerbehebung bei NTLM-Authentifizierungsfehlern finden Sie unter [Link einfügen]. Fehlerbehebung bei der Authentifizierung.

Kerberos

Windows 2000 und spätere Versionen verwenden Kerberos als Standardauthentifizierungsmethode. Kerberos basiert auf symmetrischer Kryptografie und erfordert eine vertrauenswürdige dritte Partei. Optional kann in bestimmten Authentifizierungsphasen auch Public-Key-Kryptografie zum Einsatz kommen.

Kerberos verwendet einen bidirektionalen Handshake mithilfe eines Ticketvergabedienstes, dem sogenannten Schlüsselverteilungszentrum. Die Authentifizierungsschritte sind wie folgt:

  1. Die Clients authentifizieren sich gegenüber dem Authentifizierungsserver (AS), der die Benutzernamen an ein Schlüsselverteilungszentrum (KDC) weiterleitet.
  2. Der KDC stellt ein Ticket-Granting-Ticket (TGT) aus, fügt einen Zeitstempel hinzu, verschlüsselt es mit dem geheimen Schlüssel des Ticket-Granting-Dienstes (TGS) und sendet das verschlüsselte Ergebnis an die Workstation des Benutzers zurück. Dies geschieht selten, typischerweise beim Anmelden des Benutzers.

Das TGT läuft irgendwann ab, kann aber vom Sitzungsmanager des Benutzers während der Anmeldung transparent erneuert werden.

Kerberos stellt strenge Zeitanforderungen. Das bedeutet, dass die Uhren der beteiligten Hosts innerhalb der konfigurierten Grenzen synchronisiert sein müssen. Die Tickets haben eine Gültigkeitsdauer. Ist die Hostuhr nicht mit der Kerberos-Serveruhr synchronisiert, schlägt die Authentifizierung fehl. Standardmäßig darf die Zeitdifferenz maximal fünf Minuten betragen.

Weitere Ressourcen

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen