Области взаимодействия kerberos

Если у организации состоит большое количество пользователей и большое число сервисов, использование одного сервера аутентификации и сервера TGS нецелесообразно.

Выделяют области взаимодействия, каждая из которых содержит пару серверов AS и TGS.

Такая схема требует, чтобы сервер одной области мог доверять аутентификацию клиента другой области, и серверы AS и TGS имели общий секретный ключ.

1) С→AS: ID_c||ID_TGS||T_S1;

2) AS→ С: E_KС[K_Е,TGS||ID_TGS||T_S2||С_рок2||Мандат_TGS];

3) С→TGS: ID_TGSB||Мандат_TGS||аутентификатор_с;

4) TGS→С: Е_Кc,TGS[K_c,TGSB||ID_TGSB||T_S4||мандат_TGSB]

5) С→TGS: ID_vB||Мандат_TGSB||аутентификатор_с

6) TGS_В→C:E_KC,TGSB[K_C,VB||ID_VB||T_S5||Мандат_VB]

7) C→V_В: Мандат_VB|| аутентификатор_с

KERBEROS v.5

Содержит ряд усовершенствований 4-й версии в двух областях:

• Область ограничения среды;

• Техническая область.

Ограничения среды:

1) зависимость от системы шифрования v.4 требует DES.BV.5 к шифрованному тексту присоединять идентификатор текста шифрования, а ключи шифрования содержат указатели их длины;

2) зависимость от протокола сети

v.4 требует только IP v.5, к адресу добавляется метка типа и длины;

3) срок действия мандата.

В v.4 срок представляется 8-битовым значением, единица которого соответствует 5 минутам, т.е. максимальный срок = 21 час, следовательно, не удобно для систем, требующих длительных временных ресурсов.

В v.5 мандат содержит явное указание времени нала и окончания действий.

4) передача сертификатов аутентификации.

В v.4 сертификат, выданный одному узлу, нельзя передавать другому узлу, а в v.5 – можно.

5) аутентификация в удаленной области

v.5 требует гораздо меньше сеансов взаимодействия между серверами Kerberos разных областей.