04-20-2009
|
|
Del Temne Moderator och Full Temne pappa
|
|
|
Join Date: Sep 2006
Ort: Rossem, Tazenda
Inlägg: 1.086
|
|
Läs mer om det Kerberos-protokollet från Wikipedia (citeras nedan)
Citat:
Protokoll
Säkerheten i protokollet hög grad bygger på deltagarnas bibehålla löst synkroniserade tid och kortlivade påståenden om äkthet kallas Kerberos biljetter.
Vad som följer är en förenklad beskrivning av protokollet. Följande förkortningar kommer att användas:
* AS \u003d Authentication Server
* SS \u003d Service Server
* TGS \u003d Ticket-Beviljande Server
* TGT \u003d Ticket-Beviljande Ticket
Kunden verifierar att det som en gång med en långsiktig delad hemlighet (t.ex. ett lösenord) och får en TGT från AS. Senare, när kunden vill kontakta någon SS, kan det (åter) använda denna biljett för att få ytterligare biljetter till SS utan att tillgripa använda delad hemlighet. Dessa biljetter kan användas för att bevisa autentisering till SS.
Faserna beskrivs nedan.
User Client-baserad inloggning
1. En användare skriver in ett användarnamn och lösenord på klientdatorn.
2. Kunden utför en enkel funktion (hasch oftast) på in lösenord, och detta blir den hemliga nyckeln för kunden / användaren.
Klientverifiering
1. Kunden skickar en klartext meddelande till ansökte om tjänster på uppdrag av användaren. Sample meddelande: "Användaren XYZ skulle vilja be om tjänster". Anmärkning: Varken hemlig nyckel eller lösenord skickas till AS. Men även om den hemliga nyckeln inte skickas till AS är den som fortfarande kunna generera samma hemliga nyckel som hashing lösenordet för kunden / användaren från sin egen säkerhet databas (t.ex. Active Directory i Windows Server
2. De kontroller som utförs för att se om kunden är i sin databas. Om det är, skickar AS tillbaka följande två meddelanden till klienten:
* Meddelande A: Client / TGS sessionsnyckel krypteras med den hemliga nyckeln för kunden / användaren.
* Meddelande B: Ticket-Beviljande Ticket (som omfattar klient-ID, kund nätadress, biljett giltighetstid, och kunden / TGS sessionsnyckel) krypteras med den hemliga nyckeln för TGS.
3. När kunden tar emot meddelanden A och B, dekrypterar det budskap A för att få Client / TGS sessionsnyckel. Denna session nyckeln används för vidare kommunikation med TGS. (Obs: Kunden kan inte dekryptera meddelandet B, eftersom den är krypterad med TGS hemliga nyckel.) På denna punkt har kunden tillräcklig information för att autentisera sig för TGS.
Client Service Authorization
1. När begär tjänster, skickar klienten följande två meddelanden till TGS:
* Meddelande C: Består av TGT från budskap B och ID för den begärda tjänsten.
* Meddelande D: Authenticator (som består av klient-ID och tidsstämpel), krypterad med klientens / TGS sessionsnyckel.
2. Vid mottagande av meddelanden C och D, hämtar TGS budskap B ut budskapet C. Det dekrypterar meddelandet B med TGS hemlig nyckel. Detta ger det "klienten / TGS session key". Hjälp av denna nyckel, den TGS dekrypterar meddelandet D (Authenticator) och skickar följande två meddelanden till klienten:
* Meddelande E: Client-till-server biljett (som omfattar klient-ID, kund nätadress, giltighetstid och Client / Server Session Key) krypterade med tjänsten hemliga nyckel.
* Meddelande F: Client / server sessionsnyckel krypterad med Client / TGS sessionsnyckel.
Client Service Request
1. Vid mottagande av meddelanden E och F från TGS, har kunden tillräcklig information för att autentisera sig till SS. Klienten ansluter till SS och skickar följande två budskap:
* Meddelande E från föregående steg (klient-till-server biljett, krypterad med service hemliga nyckel).
* Meddelande G: en ny Authenticator, som omfattar klient-ID, tidsstämpel och krypteras med klient / server sessionsnyckel.
2. SS dekrypterar biljetten använda sin egen hemliga nyckel för att hämta Client / Server Session Key. Använda sessioner nyckel, dekrypterar SS autentiseraren och skickar följande meddelande till kunden för att bekräfta sin verkliga identitet och vilja att betjäna kunden:
* Meddelande H: tidsstämpel finns i kundens Authenticator plus 1, krypteras med Client / Server Session Key.
3. Kunden dekrypterar bekräftelse med Client / Server Session Key och kontrollera om de timestamp är korrekt uppdaterad. Om så är fallet, då kunden kan lita på servern och kan börja utfärda begäran om tjänster till servern
4. Servern tillhandahåller den begärda tjänster till kunden.
|
|
Mer UNIX och Linux Forum Ämnen Du kan hitta Helpful
Powered by 
Hybridläge
