Trin i Kerberos Encyption

Indlæg af Hanne Mølgaard Plasc

  Kerberos er en godkendelsesprotokoltjeneste, der bruges til at beskytte netværksressourcer mod uautoriseret adgang på Microsoft-klient / serverbaserede netværk, f.eks. Dem, der bruger Microsoft Windows 2003-serveren. Kerberos beskytter ressourcer som filer og databaser gemt på netværksservere ved at sikre, at kun klienter, der har logget på netværket, har adgang til disse tjenester. Kerberos tillader kun ressourceadgang til klienter med konti, der er opført i en netværksbruger- og datakonto database, f.eks. Active Directory, der bruges af Windows 2003-serveren.

Anmodning om en billetgodkendelse

En klientcomputer på et netværk, f.eks. en stationær computer, der kører Windows XP eller Windows 7, skal muligvis få adgang til en ressource, f.eks. en fil, der er gemt på en netværksdatamagasinserver. Klienten sender en digital forespørgsel til den server, der godkendte den på netværket under logon. Anmodningen anmoder autentiseringsserveren om at kontrollere klientens legitimationsoplysninger i Active Directory og oprette de certifikater, som klienten skal præsentere for at anmode om adgang til netværksressourcerne. Active Directory-serveren opretter et krypteret digitalt certifikat, der indeholder en sessionstast (SK) og en Ticket Granting Ticket (TGT), som den sender tilbage til klientcomputeren.

Ticket Granting Server

Klienten dekrypterer sessionstasten og skaber en digital autentificering til at sende til en Ticket Granting Server Autentifikatoren indeholder klientnavnet og dets internetprotokol (IP) -adresse samt et tidsstempel. Ticket Granting Server er en netværksserver, der er vært for Kerberos-sikkerhedstjenesten. På et Windows-baseret klient / server-netværk er dette normalt serveren hosting Active Directory-godkendelsestjenesten.



Klienten sender den autentificering, den har oprettet sammen med den TGT, den modtog fra Active Directory-serveren, til Ticket Gran ting server. Ticket Granting Server bruger autentificatoren og TGT til at oprette en ny SK. Det skaber også et digitalt certifikat kendt som en Target Server Ticket, der indeholder legitimationsoplysninger, som klienten skal have adgang til filen gemt på målserveren. Den nye Target Server Billet indeholder klientnavnet og IP-adressen og en udløbstid for Target Server-billet plus målserverens sikkerhedsnøgle og navnet på målserveren. Den nye SK og Target Server-billet krypteres og sendes tilbage til klienten.

Target Server Authentication

Klienten sender den nye SK og Target Server Ticket til serveren, der er vært for den fil, som klienten ønsker at få adgang til. Målserveren accepterer anmodningen, fordi anmodningen indeholder målserveren s sikkerhedsnøgle. Målserveren dekrypterer Target Server-billetten og kontrollerer SK-klientens autentificeringsoplysninger, klientens IP-adresse og tidsstemplet. Da de fleste netværksadgangsforespørsler kræver tovejskommunikation mellem klienten og serverens hostingressourcer, bruger målserveren SK til at generere en besked, herunder tidsstemplet, forøget af en og bruger SKs krypteringsnøgle til at kryptere dette besked, som den sender tilbage til klienten for at bevise, at det er den server, som klienten ønsker at kommunikere med.

Ressourceadgang

Målserveren er nu overbevist om, at klientserveren har ret til at etablere en kommunikation sessionen, og klienten er overbevist om, at målserveren er den korrekte server, da målserveren genkendte den krypterede digitale sikkerhedsnøgle, som klienten præsenterede. Klient og server deler begge SK for at etablere en kommunikationssession.



Dette betyder ikke, at klienten kan få adgang til filen gemt på målserveren. Kerberos tillader kun sikker kommunikation mellem computere. Filerne beskyttes af deres egne individuelle ressourceadgangstilladelser .