Kerberos hitelesítés – mi ez??

Ebből a cikkből megtudhatja, mi az úgynevezett Kerberos hitelesítés, és mire használják.


Kép: JARIRIYAWAT/Shutterstock.com hirdetés

Az úgynevezett Kerberos hitelesítés egy hitelesítési szolgáltatás, amelyet nyílt ill. nem biztonságos hálózatok legalább két megbízható gazdagép közötti hozzáférés engedélyezésére. Ebben a cikkben elmagyarázzuk, hogyan működik a szolgáltatás és hol használják.

  • Mi az a Kerberos hitelesítés??
  • Hogyan működik a Kerberos hitelesítés??

Mi az a Kerberos hitelesítés??

A Kerberos hitelesítés egy biztonsági protokoll, amely hitelesíti a különféle szolgáltatási kéréseket. A Kerberos protokollt az 1980-as években fejlesztették ki, és mára a Microsoft Windows operációs rendszer szabványos hitelesítési módszerévé vált. A görög mitológiában Kerberos egy háromfejű pokolkutya, amely az alvilág bejáratát jelzi biztosít. A Kerberos-protokoll által nyújtott biztonság – a pokolkutya három fejéhez hasonlóan – azon alapul, Ügyfél, kulcselosztó központ és hosting szerver. A Kerberos-szal működő számítógépeknek, felhasználóknak és szolgáltatásoknak az úgynevezett KDC-t (Key Distribution Center) kell használniuk a műveletek és szolgáltatások hitelesítéséhez. A hitelesítésen kívül úgynevezett "KDC jegyek" kerülnek kiadásra, amelyek beépülnek a hitelesítési folyamatba. A hitelesítéshez a Kerberos egy klasszikus megosztott titkos titkosítást használ, amely megakadályozza, hogy más folyamatok hozzáférjenek az adatcsomagokhoz az átvitel során. Ez megvédi őket a lehallgatástól és az ismétlődő támadásoktól is.

A Microsoft először mutatta be a Kerberost a Windows 2000 rendszerrel. Manapság a Kerberos szabványként használható webhelyekhez és egyszeri bejelentkezési megvalósításokhoz is. Egy konkrét alkalmazás megtalálja a Kerberos hitelesítést Weboldal beküldések vagy sokakkal Windows szolgáltatások. Az előbbiek számára a protokoll mára szabványossá vált. Ráadásul a Kerberos nincs Windowshoz kötve, hanem Apple vagy Linux rendszerekben is megvalósítható.

Hogyan működik a Kerberos hitelesítés??

Először is meg kell magyarázni néhány kifejezést a folyamatok jobb megértése érdekében. A legfontosabb kifejezéseket egy táblázatban foglaltuk össze:

nagyító
ügyfelek Végrehajtja a felhasználó utasításait, és szolgáltatáskérésre kommunikációt kezdeményez.
hosting szerver Itt található az a szolgáltatás, amelyet a felhasználó elérni szeretne.
Hitelesítési szerver (AS) Futtatja a hitelesítési folyamatokat.
Jegykiadó szerver (TGS) Szolgáltatási jegyeket (ST) biztosít az ügyfélnek.
Kulcselosztó Központ (KDC) A KDC a hitelesítési szerverből (AS) és a jegykiadó szerverből (TGS) áll.
×
ügyfelek Végrehajtja a felhasználó utasításait, és szolgáltatáskérésre kommunikációt kezdeményez.
hosting szerver Itt található az a szolgáltatás, amelyet a felhasználó elérni szeretne.
Hitelesítési szerver (AS) Futtatja a hitelesítési folyamatokat.
Jegykiadó szerver (TGS) Szolgáltatási jegyeket (ST) biztosít az ügyfélnek.
Kulcselosztó Központ (KDC) A KDC a hitelesítési szerverből (AS) és a jegykiadó szerverből (TGS) áll.

A Kerberos protokollt használó hitelesítési folyamat ezután a következőképpen fut:

  1. Az ügyfél először titkosított kérést küld a hitelesítési kiszolgálónak (AS). Amikor a kérés megérkezik a hitelesítési szerverhez, az felhasználói azonosító alapján keresi a jelszót. Ha a felhasználó a helyes információkat adta meg, az AS vissza tudja fejteni a kérést.
  2. Az ellenőrzést követően úgynevezett jegykiadó jegyet (TGT) állítanak ki, amelyet visszaküldenek az ügyfélnek.
  3. A kliens továbbítja a TGT-t a jegykiadó szerverhez. A TGS dekódolja a jegyet a titkos kulccsal, amelyet az AS és a TGS megoszt egymással.
  4. A TGT érvényessége esetén az ügyfél részére szervizjegyet (ST) állítanak ki.
  5. A kliens ezután elküldi az ST-t a gazdagépnek. Ez dekódolja az ST-t a titkos kulccsal, amelyet a szerver és a TGB megoszt egymással.
  6. Ha mindkét kulcs egyezik, az ügyfél korlátozott ideig hozzáférhet a szolgáltatáshoz. Az időt az ST-vel határozzuk meg. Ha az időtartam lejár, az úgynevezett Kinit paranccsal meghosszabbítható. Ez a parancs újraindítja a teljes Kerberos folyamatot.

A jobb áttekintés érdekében grafikusan illusztráltuk a Kerberos protokollon alapuló hitelesítési folyamatot:

A Kerberos szerinti hitelesítési folyamat 6 lépésben foglalható össze. ×

Bővebben a témáról: