💭 Jeremys Brain

ad-ldap-kerberos-radius-eap

3 min read

Übersicht und Unterschiede von AD, LDAP, Kerberos, RADIUS und EAP

Einleitung

In der Welt der Netzwerkauthentifizierung und Zugriffskontrolle existieren zahlreiche Technologien, die oft für Verwirrung sorgen. Dieser Beitrag liefert eine klare Übersicht über Active Directory (AD), LDAP, Kerberos, RADIUS und EAP, und zeigt auf, wie sie zusammenarbeiten.

1. Active Directory (AD)

Active Directory ist der Verzeichnisdienst von Microsoft und dient als zentrale Datenbank für:

  • Benutzerkonten
  • Computer und Geräte
  • Gruppen und Rollen
  • Sicherheitsrichtlinien

AD ermöglicht die zentrale Verwaltung dieser Objekte innerhalb eines Netzwerks und ist das Fundament für Authentifizierungs- und Autorisierungsprozesse.

2. Lightweight Directory Access Protocol (LDAP)

LDAP ist ein offenes Protokoll zur Abfrage und Modifikation von Verzeichnisdiensten wie AD. Hauptmerkmale:

  • Abfrage von Verzeichnisinformationen (z. B. Benutzerattribute)
  • Navigation in hierarchischen Verzeichnisstrukturen
  • Nicht primär zur Passwortüberprüfung gedacht

LDAP wird oft verwendet, um Programme oder Dienste mit den in AD gespeicherten Informationen zu versorgen.

3. Kerberos

Kerberos ist ein Authentifizierungsprotokoll, das auf Ticketvergabe basiert. Es bietet:

  • Sichere Authentifizierung ohne Übertragung von Passwörtern im Klartext
  • Single Sign-On (SSO), sodass Benutzer sich einmal anmelden und auf mehrere Dienste zugreifen können
  • Zeitbasierte Tickets zur Authentifizierung von Benutzern und Diensten

In Windows-Domänen nutzt AD Kerberos für die Authentifizierung von Benutzern und Diensten.

4. Remote Authentication Dial-In User Service (RADIUS)

RADIUS ist ein Netzwerkprotokoll für:

  • Authentifizierung von Benutzern, die sich ins Netzwerk einwählen (z. B. VPN, WLAN)
  • Autorisierung von Zugriffen auf bestimmte Netzwerkressourcen
  • Accounting, also die Protokollierung von Nutzungsdaten

RADIUS fungiert als Vermittler zwischen Netzwerkzugriffskomponenten (z. B. Access Points) und Authentifizierungsservern wie AD.

5. Extensible Authentication Protocol (EAP)

EAP ist ein flexibles Authentifizierungsframework, das:

  • Verschiedene Authentifizierungsmethoden unterstützt (z. B. EAP-TLS, EAP-PEAP)
  • Erweitert werden kann, um neuen Sicherheitsanforderungen gerecht zu werden
  • Häufig in Kombination mit RADIUS für die Authentifizierung in WLANs verwendet wird

EAP ermöglicht es, sichere Authentifizierungsmethoden über Netzwerke zu implementieren.

6. Zusammenspiel der Technologien

Beispiel 1: Anmeldung am Windows-PC

  1. Benutzer gibt Benutzername und Passwort ein.
  2. Windows-PC kommuniziert mit AD über Kerberos, um die Anmeldeinformationen zu überprüfen.
  3. AD bestätigt die Authentifizierung durch ein Kerberos-Ticket.
  4. Benutzer erhält Zugriff und kann SSO nutzen.

Hier dient AD als Benutzerverzeichnis, und Kerberos ermöglicht die sichere Authentifizierung.

Beispiel 2: WLAN-Anmeldung mit WPA2-Enterprise

  1. Benutzer verbindet sich mit dem WLAN und gibt AD-Zugangsdaten ein.
  2. Access Point leitet die Anfrage an den RADIUS-Server weiter.
  3. RADIUS-Server authentifiziert den Benutzer über EAP und fragt AD mittels LDAP oder Kerberos ab.
  4. Benutzer erhält Netzwerkzugriff bei erfolgreicher Authentifizierung.

In diesem Szenario arbeitet RADIUS mit EAP, um die Authentifizierungsanfrage an AD weiterzuleiten.

Beispiel 3: Programmabfrage von Benutzerdaten

  1. Anwendung benötigt eine Liste aller Benutzerkonten.
  2. Programm nutzt LDAP, um AD zu durchsuchen.
  3. AD liefert die angeforderten Benutzerinformationen zurück.

LDAP wird hier zur Abfrage von Verzeichnisdaten verwendet, nicht zur Authentifizierung.

7. Fazit: Wie alles zusammenhängt

  • Active Directory (AD): Zentrales Verzeichnis für Benutzer- und Gerätedaten.
  • LDAP: Protokoll zum Abfragen von Informationen aus AD.
  • Kerberos: Protokoll für sichere Authentifizierung und SSO.
  • RADIUS: Vermittler für Netzwerkzugriffsauthentifizierung, der Anfragen an AD weiterleitet.
  • EAP: Framework, das flexible Authentifizierungsmethoden über RADIUS ermöglicht.

Durch das Zusammenspiel dieser Technologien wird eine sichere und effiziente Verwaltung von Benutzerzugriffen in Netzwerken gewährleistet.

Tags

ActiveDirectoryLDAPKerberosRADIUSEAPAuthentifizierungNetzwerkSSOITSecurityWLANVPN

Networking-Overview

Graph View