04-20-2009
|
|
Часть времени Модератор и Full Time папа
|
|
|
Регистрация: Sep 2006
Место проведения: Rossem, Tazenda
Сообщения: 1086
|
|
Подробнее об этом Протоколу Kerberos из Википедии (цитируется ниже)
Цитата:
Протокол
Безопасность протокола в значительной мере опирается на участников поддержания слабо синхронизированы по времени и долго установлением подлинности Kerberos призвал билеты.
Ниже приводится упрощенное описание протокола. Следующие аббревиатуры будет использоваться:
* В \u003d Authentication Server
* SS \u003d службе Server
* \u003d TGS-билета предоставлении Server
* \u003d Билета TGT-предоставлении билетов
Клиент удостоверяет к Как когда-то с помощью долгосрочной совместной тайне (например, пароля) и получает TGT из AS. Позже, когда клиент хочет связаться некоторых СС, он может (пере) использовать этот билет для получения дополнительных билетов на СС, не прибегая к использованию общей тайной. Эти билеты могут быть использованы для доказательства подлинности SS.
Этапы подробно ниже.
Пользователи клиентских Вход
1. Пользователь вводит имя пользователя и пароль на компьютере клиента.
2. Клиент выполняет одну функцию (хэш в основном) по вступил пароль, и это становится секретным ключом от клиента / пользователя.
Аутентификация клиента
1. Клиент посылает в виде сообщения с просьбой AS услуги от имени пользователя. Пример сообщения: "Пользователь XYZ хотелось бы просить услуг". Примечание: Ни секретного ключа или пароль высылается на AS. Однако, даже несмотря на то, что секретный ключ, не направляются в А.С., С.-прежнему способны генерировать тот же секретный ключ путем хэширования паролей для клиента / пользователя из своей собственной безопасности баз данных (например, Active Directory в Windows Server
2. СОС проверяет, находится ли клиент в своей базе данных. Если это так, С. посылает обратно на следующие два сообщения для клиента:
* Сообщение: Клиент / TGS ключ сессии шифруется с использованием секретного ключа от клиента / пользователя.
* Сообщение B: Билет с выдачей билетов (который включает в себя идентификатор клиента, клиент сетевой адрес, срок действия билета, и клиент / TGS сессии ключ) зашифрованы с помощью секретного ключа в TGS.
3. Как только клиент получает сообщения A и B, он расшифровывает сообщение получить клиент / TGS ключ сессии. Этот ключ сессии используется для дальнейшей связи с TGS. (Примечание: клиент не может расшифровать сообщение B, как это TGS зашифрованы с помощью секретного ключа.) На данный момент, клиент имеет достаточно информации для идентификации себя в TGS.
Клиент службы Авторизация
1. Запрашивая услуги, клиент направляет следующие два сообщения на TGS:
Сообщение * C: Состоящий из TGT из сообщения B и идентификатор запрашиваемого сервиса.
Сообщение * D: аутентикатором (который состоит из идентификатора клиента, и времени), зашифрованных с использованием клиент / TGS ключ сессии.
2. После получения сообщения, C и D, то TGS получает сообщение B из сообщения С. B расшифровывает сообщение с помощью секретного ключа TGS. Это дает ему "клиент / TGS сессии ключ". С помощью этого ключа, то TGS расшифровывает сообщение D (аутентикатором) и направляет следующие два сообщения для клиента:
Сообщение * E: клиент-сервер билет (который включает в себя идентификатор клиента, клиент сетевой адрес, срок действия, и клиент / сервер ключей) зашифрованных с использованием сервиса секретного ключа.
* Текст сообщения F: клиент / сервер ключ сессии шифруется с клиентом / TGS ключ сессии.
Запрос клиента
1. После получения сообщения, E и F от TGS, клиент имеет достаточно информации для идентификации себя в SS. Клиент подключается к СС и направляет следующие два сообщения:
Сообщение * E от предыдущего шага (клиент-сервер билета, зашифрованных с использованием сервиса секретный ключ).
* Сообщение G: новый аутентикатором, которая включает в себя идентификатор клиента, времени и в зашифрованном виде с использованием клиент-сервер ключ сессии.
2. The SS расшифровывает билет, используя свой собственный секретный ключ, чтобы получить клиент / сервер ключей. Использование ключевых сессий, СС в аутентикатором расшифровывает и отправляет следующее послание к клиенту, чтобы подтвердить свою подлинную личность и готовность служить клиенту:
Сообщение * H: о времени, в клиента аутентикатором плюс 1, зашифрованных с использованием клиент / сервер ключей.
3. Клиент расшифровывает подтверждение использованием клиент / сервер ключей и проверяет ли время корректно обновляются. Если это так, то клиент может целевого сервера и может начать выдачу запросов к серверу
4. Сервер предоставляет запрашиваемую услуг для клиента.
|
|
Подробнее UNIX и Linux Темы форума можно найти полезные
Powered By 
Гибридный режим
