Подпротоколы
Протокол Kerberos содержит в себе три подпротокола. Первый из них используется службой KDC для передачи клиенту сеансового ключа регистрации и билета TGT. Он называется Authentication Service Exchange (обмен со службой аутентификации) или, сокращенно AS Exchange. Второй подпротокол под названием Ticket-Granting Service Exchange (обмен со службой выдачи билетов) или TGS Exchange служит для рассылки служебных сеансовых ключей и сеансовых ключей самой службы KDC. Третий подпротокол, Client/Server Exchange (клиент-серверный обмен) или CS Exchange, используется клиентом для пересылки сеансового билета доступа к службам.
Чтобы лучше разобраться в том, как эти подпротоколы взаимодействуют между собой, давайте посмотрим, что происходит, когда Алиса, пользователь рабочей станции, обращается к Бобу, сетевой службе.
Рисунок.5. Подпротокол AS Exchange
Получив запрос KRB_AS_REQ, служба KDC обращается в свою базу данных и находит в ней долговременный ключ Алисы, после чего расшифровывает данные предварительной аутентификации и оценивает метку времени, содержащуюся в них. Если проверка прошла успешно, служба KDC делает вывод, что данные предварительной аутентификации были зашифрованы с долговременным ключом Алисы и, следовательно, поступили от клиента, имя которого содержится в первой части сообщения.
После того, как проверка личности Алисы завершена, служба KDC генерирует удостоверение, подтверждающее, что клиент Kerberos на ее рабочей станции имеет право обратиться к службе выдачи билетов. Этот процесс выполняется в два этапа. Во-первых, KDC создает сеансовый ключ регистрации и шифрует его копию с помощью долговременного ключа Алисы. Во-вторых, служба включает еще одну копию сеансового ключа регистрации в билет TGT. Туда же заносятся и другая информация об Алисе, например, ее данные авторизации. Затем KDC шифрует билет TGT с собственным долговременным ключом и, наконец, включает зашифрованный сеансовый ключ регистрации вместе с билетом TGT в пакет KRB_AS_REP (Kerberos Authentication Service Reply - ответ службы аутентификации Kerberos), который направляет клиенту.
Получив такое сообщение, клиент расшифровывает сеансовый ключ регистрации и сохраняет его в кэш-памяти удостоверений. После этого из сообщения извлекается билет TGT, который также помещается в эту кэш-память.
- Введение
- Аутентификация в Windows 2000
- Преимущества аутентификации по протоколу Kerberos
- Стандарты аутентификации по протоколу Kerberos
- Расширения протокола Kerberos
- Обзор протокола Kerberos
- Основные концепции
- Аутентификаторы
- Управление ключами
- Сеансовые билеты
- Билеты на выдачу билетов
- Аутентификация за пределами домена
- Подпротоколы
- Подпротокол TGS Exchange
- Подпротокол CS Exchange
- Билеты
- Что такое билет
- Какие данные из билета известны клиенту
- Как служба KDC ограничивает срок действия билета
- Что происходит после истечения срока действия билета
- Обновляемые билеты TGT
- Делегирование аутентификации
- Вывод
- 6. Протокол Kerberos
- 3. Особенности реализации протокола Kerberos.
- Протокол Kerberos
- 11.2Преимущества аутентификации по протоколу Kerberos
- 6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos
- Протокол kerberos
- Протокол Kerberos. Протокол ipSec.
- 6.4 Система безопасности (протокол Kerberos, настройка параметров системы безопасности) Протокол Kerberos
- IV. Протокол Kerberos.
- 3.5. Работа протокола Kerberos