Kerberos è un servizio di protocollo di autenticazione utilizzato per proteggere le risorse di rete da accessi non autorizzati a reti client /server basato su Microsoft , come ad esempio quelli che utilizzano Microsoft Windows 2003 Server . Kerberos protegge le risorse come file e database memorizzati su server di rete , garantendo che solo i client che hanno eseguito con successo alla rete possono accedere a questi servizi . Kerberos permette l'accesso alle risorse solo a clienti con conti elencati in un utente di rete e database di account del computer , come ad esempio Active Directory , utilizzato da Windows 2003 server . Richiesta di un ticket di concessione ticket
Un computer client su una rete , ad esempio un computer desktop che eseguono Windows XP o Windows 7 , potrebbe essere necessario accedere a una risorsa , ad esempio un file , memorizzato su una rete server di archiviazione dei dati . Il client invia una richiesta digitale per il server di autenticazione sulla rete durante l'accesso. La richiesta chiede il server di autenticazione per verificare le credenziali del client in Active Directory e di creare un i certificati del client sarà necessario presentare per richiedere l'accesso alle risorse di rete . Il server Active Directory crea un certificato crittografato digitale , che contiene una chiave di sessione ( SK ) , e un ticket di concessione ticket ( TGT ), che lo invia al computer client .
Ticket di concessione Server < br >
il client decifra la chiave di sessione andt crea un autenticatore digitale da inviare a un ticket di concessione Server. L'autenticatore contiene il nome del cliente , e il suo Internet (IP) Protocollo , oltre a un timestamp . Il ticket di concessione Server è un server di rete che ospita il servizio di sicurezza Kerberos . In una rete client /server basato su Windows , questo è di solito il server che ospita il servizio di autenticazione di Active Directory .
Il client invia l'autenticatore che ha creato , insieme al TGT ha ricevuto dal server Active Directory , per il ticket di concessione Server. Il ticket di concessione Server utilizza l'autenticatore e il TGT per creare un nuovo SK . Inoltre, crea un certificato digitale noto come un biglietto Target Server , che contiene le credenziali che il cliente avrà bisogno di accedere al file memorizzato sul server di destinazione . Il nuovo Ticket Server di destinazione contiene il nome del cliente e l'indirizzo IP e un tempo di scadenza Ticket Server di destinazione , più la chiave di protezione del server di destinazione e il nome del server di destinazione . Il nuovo SK e la biglietteria Target Server sono criptate e inviate al client .
Target Server Authentication
Il client invia il nuovo SK e il bersaglio Server Ticket per il server che ospita il file che il client vuole accedere . Il server di destinazione accetta la richiesta perché la richiesta contiene la chiave di protezione del server di destinazione . Il server di destinazione decifra il ticket Target Server e controlla le informazioni SK client di autenticazione , l' indirizzo IP del client e la marca temporale . Poiché la maggior parte delle richieste di accesso alla rete richiedono la comunicazione bidirezionale tra il client e il server di risorse di hosting, il server di destinazione utilizza l' SK per generare un messaggio, compreso il timestamp , incrementato di uno , e utilizza la chiave di crittografia SK per crittografare il messaggio , che invia al client per dimostrare che è il server che il client vuole comunicare con .
Resource Access
il server di destinazione è ormai accertato che il client server ha il diritto di stabilire una sessione di comunicazione , e il cliente è soddisfatto che il server di destinazione è il server corretto , in quanto il server di destinazione ha riconosciuto la chiave crittografata sicurezza digitale che il cliente presentato . Client e server entrambi condividono l' SK per stabilire una sessione di comunicazione .
Questo non significa che il cliente può accedere al file memorizzato sul server di destinazione . Kerberos consente la comunicazione sicura solo tra i computer . I file sono protetti da loro singole autorizzazioni di accesso alle risorse .