04-20-2009
|
|
Teilzeit und Vollzeit Moderator Papa
|
|
|
Join Date: Sep 2006
Lage: Rossem, Tazenda
Posts: 1086
|
|
Lesen Sie mehr darüber Kerberos-Protokoll aus Wikipedia (unten)
Zitat:
Protokoll
Die Sicherheit des Protokolls stützt sich auf die Teilnehmer Erhaltung lose Zeit synchronisiert und auf kurzlebige Behauptungen der Authentizität genannten Kerberos-Tickets.
Was folgt, ist eine vereinfachte Beschreibung des Protokolls. Die folgenden Abkürzungen werden verwendet:
* AS \u003d Authentication Server
* SS \u003d Service-Server
* \u003d TGS Ticket-Granting-Server
* TGT \u003d Ticket-Granting Ticket
Der Client authentifiziert an den AS einmal mit einem langfristigen "Shared Secret" (z. B. ein Passwort) und ein TGT vom AS. Später, wenn der Kunde will an einige SS, kann die (Wieder-) Verwendung dieses Ticket, um zusätzliche Karten für SS, ohne auf die mit dem "Shared Secret". Diese Karten können verwendet werden, um die Authentifizierung zu SS.
Die Phasen im einzelnen dargelegt werden.
User Client-basierte Anmeldung
1. Ein Benutzer gibt einen Benutzernamen und ein Passwort auf dem Client-Rechner.
2. Der Kunde führt eine One-Way-Funktion (hash meist) auf das eingegebene Passwort, und dies wird der geheime Schlüssel des Client-Benutzers.
Client-Authentifizierung
1. Der Client sendet eine Klartext-Nachricht an die AS nach Leistungen im Namen des Benutzers. Beispiel Meldung: "User XYZ möchte Anfrage Dienste". Hinweis: Weder die geheimen Schlüssel oder das Passwort wird an die AS. Allerdings, auch wenn der geheime Schlüssel ist nicht an den AS, AS ist noch in der Lage, den gleichen geheimen Schlüssel von Hash das Passwort für die Client-Benutzer aus der eigenen Datenbank-Sicherheit (z. B. Active Directory in Windows Server
2. Die Kontrollen, um zu sehen, wenn der Kunde in seiner Datenbank. Ist dies der Fall, den AS sendet die folgenden zwei Mitteilungen an den Kunden:
* Nachricht A: Client / TGS Session Key verschlüsselt mit dem geheimen Schlüssel des Client-Benutzers.
B * Nachricht: Ticket-Granting Ticket (der auch die Client-ID, Client-Netzwerk-Adresse, Ticket-Gültigkeit, und die Client / TGS Session-Key) verschlüsselt mit dem geheimen Schlüssel der TGS.
3. Sobald der Client empfängt A und B, entschlüsselt er eine Nachricht, um die Client / TGS Session Key. Diese Session-Key ist für die weitere Kommunikation mit dem TGS. (Anmerkung: Der Client kann nicht entschlüsseln Nachricht B, da sie verschlüsselt ist mit der TGS geheimen Schlüssel.) An diesem Punkt, hat der Kunde genügend Informationen, um sich zu authentifizieren, die TGS.
Client Service Authorisierung
1. Bei der Beantragung Dienstleistungen, sendet der Client die folgenden beiden Mitteilungen der TGS:
* Nachricht C: Setzt sich zusammen aus dem TGT Nachricht von B und die ID des nachgefragten Service.
* Nachricht D: Authenticator (der sich aus der Client-ID und den Zeitstempel), verschlüsselt mit dem Client / TGS Session Key.
2. Nach Erhalt Nachrichten C und D, die TGS holt Nachricht B aus C. Es Nachricht entschlüsselt Nachricht B mit der TGS geheimen Schlüssel. Das gibt es den "Client / TGS Session-Key". Mit diesem Schlüssel, der TGS entschlüsselt Nachricht D (Authenticator) und sendet die folgenden zwei Mitteilungen an den Kunden:
* Nachricht E: Client-Server-Ticket (der auch die Client-ID, Client-Netzwerk-Adresse, Gültigkeitsdauer und Client / Server-Session Key) verschlüsselt, mit Hilfe des Dienstes der geheimen Schlüssel.
* Nachricht F: Client / Server-Session-Key verschlüsselt mit der Client / TGS Session Key.
Client Service anfordern
1. Nach Erhalt Nachrichten E und F von TGS, hat der Kunde genügend Informationen, um sich zu authentifizieren, die SS ein. Der Client verbindet sich mit der SS und schickt die beiden folgenden Meldungen:
* Nachricht E aus dem vorherigen Schritt (der Client-Server-Ticket, mit verschlüsselten Dienstes geheimen Schlüssel).
G * Nachricht: Eine neue Authenticator, der die Client-ID, Zeitstempel und ist verschlüsselt mit Client / Server-Session-Key.
2. Die SS entschlüsselt das Ticket mit eigenen geheimen Schlüssel, um die Client / Server-Session-Schlüssel. Mit den Sitzungen Schlüssel, SS entschlüsselt der Authenticator und sendet die folgende Meldung an den Client, um zu bestätigen, ihre wahre Identität und die Bereitschaft zu dienen, den Kunden:
H * Nachricht: Der Zeitstempel in Client-Authenticator plus 1, verschlüsselt mit dem Client / Server-Session-Schlüssel.
3. Der Client entschlüsselt die Bestätigung über die Client / Server-Session-Key und prüft, ob der Zeitstempel wird korrekt aktualisiert. Wenn ja, dann kann der Kunde Vertrauen in die Server und kann die Ausstellung von Service-Anfragen an den Server
4. Der Server liefert die geforderten Dienstleistungen an den Kunden.
|
|
Mehr UNIX-und Linux-Forum Themen Vielleicht finden Sie hilfreiche
Powered by 
Hybrid-Modus
