Обновляемые билеты TGT
Один из методов защиты сеансовых ключей состоит в частой их смене. С этой целью в политике Kerberos можно предусмотреть относительно небольшой максимальный срок действия билетов. Но есть и другой способ - использовать обновляемые билеты. При этом обеспечивается периодическое обновление сеансовых ключей без необходимости запрашивать новый билет. Если политика Kerberos разрешает применение обновляемых билетов, служба KDC включает в каждый генерируемый билет флаг RENEWABLE и указывает два срока истечения его действия. Первый из них ограничивает жизнь текущего экземпляра билета, а второй определяет общее время, в течение которого может использоваться билет с учетом его обновлений.
Поле endtime указывает, когда истекает срок действия текущего экземпляра билета. Как и в случае с необновляемыми билетами, значение этого поля равно сумме значения из поля starttime и наибольшего срока действия билетов, определенного политикой Kerberos. Клиент, использующий обновляемый билет, должен представить его в службу KDC для обновления до времени, указанного в поле endtime. Одновременно с билетом в центр распределения ключей направляется и новый аутентификатор. Получив билет, который нужно обновить, служба KDC, прежде всего, проверяет общий срок его действия, указанный в поле renew-till. Это время задается при первичной генерации билета. Оно определяется путем суммирования значения из поля starttime с максимально допустимым политикой Kerberos сроком действия билета с учетом всех обновлений. Если указанное в поле renew-till время еще не наступило, служба KDC генерирует новый экземпляр билета, где указывает более позднее время endtime и заменяет сеансовый ключ.
Это дает администратору возможность предусмотреть в политике Kerberos сравнительно частое обновление билетов, например, ежедневно. Смена сеансовых ключей при обновлении билета намного снижает риск их компрометации. В то же время администратор может задать довольно длительное общее время использования билета - неделю, месяц, а то и больше. По истечении этого срока билет становится полностью непригодным для дальнейшего использования и обновлению не подлежит.
- Введение
- Аутентификация в Windows 2000
- Преимущества аутентификации по протоколу Kerberos
- Стандарты аутентификации по протоколу Kerberos
- Расширения протокола Kerberos
- Обзор протокола Kerberos
- Основные концепции
- Аутентификаторы
- Управление ключами
- Сеансовые билеты
- Билеты на выдачу билетов
- Аутентификация за пределами домена
- Подпротоколы
- Подпротокол TGS Exchange
- Подпротокол CS Exchange
- Билеты
- Что такое билет
- Какие данные из билета известны клиенту
- Как служба KDC ограничивает срок действия билета
- Что происходит после истечения срока действия билета
- Обновляемые билеты TGT
- Делегирование аутентификации
- Вывод
- 6. Протокол Kerberos
- 3. Особенности реализации протокола Kerberos.
- Протокол Kerberos
- 11.2Преимущества аутентификации по протоколу Kerberos
- 6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos
- Протокол kerberos
- Протокол Kerberos. Протокол ipSec.
- 6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos
- IV. Протокол Kerberos.
- 3.5. Работа протокола Kerberos