32. Kerberos. Проверка подлинности.

В основе протокола KERBEROS лежит идея «общих секретов». Другими словами, если информация известна только двум людям, то любой из них может подтвердить личность другого, проверив, известна ли ему определенная информация. При использовании протокола KERBEROS секретные сведения известны только центру KERBEROS и клиенту - участнику системы безопасности (человеку или устройству).

Проверка подлинности начинается непосредственно с того момента, когда клиент предпринимает попытку войти в домен. Информация от клиента передается зашифрованной его ключом, за исключением учетной записи, которой они шифруются.

В процессе проверки подлинности клиента центром KERBEROS выполняются следующие действия:

1. по учетной записи пользователя загружается ключ клиента, используемый для расшифровки сообщения проверки подлинности

2. просматривается текст сообщения, проверяется поле времени, которое должно совпадать с временем рабочей станции пользователя, с которой был направлен запрос. Если разница между данным временем и временем центра KERBEROS - более 5 минут, то обработка сообщения прекращается. Если меньше – то KERBEROS продолжает работать

3. KERBEROS определяет, совпадает ли временная метка с временной меткой предыдущих запросов. Если она новая, и не такая, как предыдущие метки, то пользователю разрешается войти в домен после обработки дополнительной информации, характеризующей пользователя. В KERBEROS проверка взаимна, т.е. клиенту весте с билетом TGT назад отправляются избранные сведения, среди которых и временная метка получателя. На основе этих данных пользователь может убедиться в том, что именно KERBEROS , а не кто-либо другой расшифровал его сообщение. Обратное сообщение так же инициируется секретным ключом клиента.

33. Kerberos. Распределение ключей.

Проверка подлинности хорошо работает по отношению к ресурсам домена, управляемого KERBEROS. Но как быть, если клиент вышел из домена и обратился к определенным сетевым ресурсам? Протокол KERBEROS поддерживает распределение ресурсных ключей, которое проследим с помощью следующей структуры:

Центр распределения ключей KDC создает сеансовый ключ после того, как клиент обращается к нему с соответствующим запросом А. В запросе А клиент передает билет TGT. Сервер KDC отправляет клиенту зашифрованный ключом клиента билет ST, в котором находится ключ шифрования к серверу ресурсов и сеансовый билет, зашифрованный ключом сервера ресурса (в нём полномочия клиента относительно ресурса). Данное сообщение обозначено как В. Клиент, получив билет ST, расшифровывает его, извлекает ключ шифрования, а сеансовый билет размещает в закрытой области памяти. Формируемый запрос к серверу ресурса шифруется полученным ключом, в сообщение вкладывается сеансовый билет. Так же сюда входит временная метка клиента. Сеансовый билет и временная метка идентифицируют пользователя аналогично имени пользователя и пароля при входе в систему (при проверке подлинности входа). На рис. обозначается как сообщение С. Определив область, из которой идёт запрос, сервер находит в своей памяти секретный ключ дешифрования и расшифровывает сообщение. Далее с помощью дополнительного секретного ключа расшифровывается информация сеансового билета. После этого в зашифрованном виде пользователю пересылается ресурс (сообщение D) в соответствии с полномочиями, определенными клиенту сервером KDC. Срок действия билета ST – 8 часов, т.е. длительность рабочего дня. Когда пользователь завершит сеанс работы, билет ST теряет свою силу.