Протокол аутентификации Kerberos – основной механизм аутентификаций. Он был разработан в начале 80х годов в Масачуссетском институте.
Клиент запрашивает соединение и предоставляет информацию о своих полномочиях.
2 сторона - сервер, предоставляющий доступ к ресурсу и проверяющий полномочия клиента.
К серверу может подключаться неограниченное количество клиентов, каждый из которых предоставляет информацию о собственном секрете.
3 сторона – сервер, хранящий информацию о секретах своих клиентов.
Центр распределения ключей - берет роль посредника между серверами и клиентами, обеспечивает каждому подключение собственным уникальным секретом, известным только клиенту и серверу.
Алгоритм аутентификации:
1. Клиент посылает запрос серверу аутентификации на информацию, однозначно идентифицирующую некоторый нужный клиенту сервер.
2. Сервер аутентификации перерабатывает требуемую информацию, зашифрованную с помощью ключа, известную пользователю.
3. Она состоит из билета сервера и временного ключа для шифрования (ключ сеансов).
4. Клиент пересылает серверу билет, содержащий идентификатор клиента и ключ сеанса, зашифрованный с помощью ключа, известного серверу.
5. Теперь, когда ключ известен и клиенту и серверу, он может быть использован для идентификации клиента и сервера.
Ключ может применять для шифрования применяемой в сеансе информации или для взаимного обмена ключами под сеансом.
Примеры областей с применением аутентификации Kerberos:
– аутентификация в Active Directory;
– протокол удаленного доступа к файлу cifs;
– управление распределенной файловой системой DFS;
– защищенное обновление адресов DNS;
– служба печати.
Вопрос № 37.