Вопрос № 36. О аутентификации и сетевой безопасности.

Протокол аутентификации Kerberos – основной механизм аутентификаций. Он был разработан в начале 80х годов в Масачуссетском институте.

Клиент запрашивает соединение и предоставляет информацию о своих полномочиях.

2 сторона - сервер, предоставляющий доступ к ресурсу и проверяющий полномочия клиента.

К серверу может подключаться неограниченное количество клиентов, каждый из которых предоставляет информацию о собственном секрете.

3 сторона – сервер, хранящий информацию о секретах своих клиентов.

Центр распределения ключей - берет роль посредника между серверами и клиентами, обеспечивает каждому подключение собственным уникальным секретом, известным только клиенту и серверу.

Алгоритм аутентификации:

1. Клиент посылает запрос серверу аутентификации на информацию, однозначно идентифицирующую некоторый нужный клиенту сервер.

2. Сервер аутентификации перерабатывает требуемую информацию, зашифрованную с помощью ключа, известную пользователю.

3. Она состоит из билета сервера и временного ключа для шифрования (ключ сеансов).

4. Клиент пересылает серверу билет, содержащий идентификатор клиента и ключ сеанса, зашифрованный с помощью ключа, известного серверу.

5. Теперь, когда ключ известен и клиенту и серверу, он может быть использован для идентификации клиента и сервера.

Ключ может применять для шифрования применяемой в сеансе информации или для взаимного обмена ключами под сеансом.

Примеры областей с применением аутентификации Kerberos:

• аутентификация в Active Directory;

• протокол удаленного доступа к файлу cifs;

• управление распределенной файловой системой DFS;

• защищенное обновление адресов DNS;

• служба печати.