04-20-2009
|
|
Part Time Moderator en Full Time pap
|
|
|
Join Date: Sep 2006
Locatie: Rossem, Tazenda
Berichten: 1.086
|
|
lees meer over Kerberos-protocol uit Wikipedia (geciteerd hieronder)
Citaat:
Protocol
De beveiliging van het protocol leunt zwaar op de deelnemers onderhouden losjes gesynchroniseerd tijd en op korte duur beweringen van echtheid genoemd Kerberos-tickets.
Wat volgt is een vereenvoudigde beschrijving van het protocol. De volgende afkortingen worden gebruikt:
* AS \u003d Authentication Server
* SS \u003d Server Service
* TGS \u003d Ticket-Verlening Server
* TGT \u003d ticket-granting ticket
De cliënt verifieert aan de AS eenmaal met behulp van een lange termijn gedeelde geheim (bijvoorbeeld een wachtwoord) en ontvangt een TGT van de AS. Later, toen de klant wil contact met sommige SS, kan het (her) gebruik dit ticket naar extra tickets voor SS krijgen zonder hun toevlucht tot het gebruik van het gedeelde geheim. Deze tickets kunnen worden gebruikt om authenticatie bewijzen SS.
De fasen worden hieronder.
User Client-gebaseerde Logon
1. Een gebruiker voert een gebruikersnaam en wachtwoord op de client-machine.
2. De klant voert een one-way function (hash meestal) op het ingevoerde wachtwoord, en dit wordt de geheime sleutel van de klant / gebruiker.
Clientverificatie
1. De klant stuurt een bericht naar de cleartext AS verzoekende diensten voor rekening van de gebruiker. Sample bericht: "User XYZ wil diensten verzoek". Let op: Noch de geheime sleutel, noch het wachtwoord wordt verzonden naar de AS. Maar zelfs al is de geheime sleutel niet wordt uitgezonden om het AS, is de AS nog steeds in staat om dezelfde geheime sleutel genereren door hashing het wachtwoord voor de klant / gebruiker van zijn eigen veiligheid database (Active Directory in Windows Server
2. De AS controles om te zien of de cliënt in zijn database. Als het is, de AS stuurt de volgende twee berichten naar de klant:
* Bericht A: Client / TGS Session Key versleuteld met de geheime sleutel van de klant / gebruiker.
* Bericht B: ticket-granting ticket (die de klant-id, client netwerk adres, ticket geldigheidsduur, en de cliënt / TGS sessie sleutel omvat) versleuteld met de geheime sleutel van de TGS.
3. Zodra de klant ontvangt berichten A en B, A ontcijferen boodschap aan de opdrachtgever verkrijgen / TGS Session Key. Deze sessie sleutel wordt gebruikt voor verdere communicatie met de TGS. (Opmerking: De cliënt kan niet decoderen Message B, want het is gecodeerd met behulp van geheime sleutel TGS's.) Op dit moment heeft de klant voldoende informatie om zich te authenticeren bij de TGS.
Client Service Autorisatie
1. Bij het aanvragen van diensten, de cliënt stuurt de volgende twee berichten naar de TGS:
* Bericht C: Bestaat uit de TGT bericht van B en de ID van de gevraagde dienst.
* Bericht D: Authenticator (die is samengesteld uit de client-ID en de timestamp), versleuteld met behulp van de Client / TGS Session Key.
2. Na ontvangst van berichten C en D, de TGS bericht B haalt uit boodschap C. Het decodeert bericht TGS B met behulp van de geheime sleutel. Dit geeft het de "client / TGS sessie sleutel". Met behulp van deze toets, de TGS decodeert bericht D (Authenticator) en stuurt de volgende twee berichten naar de klant:
* Bericht E: Client-to-server ticket (die de klant-id, client-netwerk adres, geldigheidsduur en Client / Server Session Key omvat) versleuteld met geheime sleutel van de dienst.
* Bericht F: Client / server sessie sleutel gecodeerd met de Client / TGS Session Key.
Client Service Request
1. Na ontvangst van berichten E en F uit TGS, heeft de klant voldoende informatie om zich te authenticeren bij de SS. De client maakt verbinding met de SS en stuurt de volgende twee berichten:
* Bericht E uit de vorige stap (de client-to-server ticket, versleuteld met behulp van geheime sleutel dienst).
* Bericht G: een nieuwe Authenticator, die de klant-ID, timestamp omvat en is gecodeerd met behulp van client / server-sessie sleutel.
2. De SS decodeert het ticket met haar eigen geheime sleutel op te halen van de Client / Server Session Key. Met behulp van de sessies sleutel, SS ontcijfert de Authenticator en stuurt het volgende bericht naar de klant om zijn ware identiteit en de bereidheid om de klant dienen te bevestigen:
* Bericht H: de timestamp gevonden in client Authenticator plus 1, versleuteld met behulp van de Client / Server Session Key.
3. De klant decodeert de bevestiging met behulp van de Client / Server Session Key en controleert of de tijdstempel correct wordt bijgewerkt. Zo ja, dan is de klant kan vertrouwen op de server en kan beginnen met de afgifte van service aanvragen naar de server
4. De server biedt de gevraagde diensten aan de klant.
|
|
Meer UNIX en Linux Forum Onderwerpen Misschien vindt u Helpful
Powered by 
Hybrid Mode
