Kerberos er en authentication protokol service, der bruges til at beskytte netværksressourcer mod uautoriseret adgang på Microsoft klient /server -baserede netværk såsom dem, der bruger Microsoft Windows 2003 server . Kerberos beskytter ressourcer såsom filer og databaser gemt på netværksservere ved at sikre, at kun kunder, der har logget på netværket kan få adgang til disse tjenester. Kerberos giver ressource kun adgang til kunder med konti , der er anført i et netværk bruger og computer konto database , såsom Active Directory , der bruges af Windows 2003 server . Anmodning om en billet Tildeling Ticket
En klient computer på et netværk , såsom en stationær computer, der kører Windows XP eller Windows 7, kan have brug for at få adgang til en ressource , såsom en fil , som gemmes på et netværk datalagring server. Klienten sender en digital anmodning til serveren , der har godkendt det på netværket under logon. Anmodningen beder godkendelsesserveren at kontrollere klientens legitimationsoplysninger i Active Directory og skabe en certifikaterne kunden bliver nødt til at præsentere anmode om adgang til netværksressourcer. Active Directory-serveren opretter en krypteret digitalt certifikat , der indeholder en Session Key (SK ) og en Ticket Tildeling Ticket ( TGT ), som den sender tilbage til klientcomputeren .
Ticket Tildeling Server < br >
klienten dekrypterer Session Key andt skaber en digital godkenderen at sende til en billet Tildeling server. Godkenderen indeholder kundens navn , og Internet Protocol ( IP)-adresse , plus et tidsstempel . Billetten Tildeling Server er et netværk server hosting Kerberos sikkerhedstjeneste. På en Windows -baseret klient /server-netværk , er det normalt den server hosting Active Directory -godkendelse service.
Klienten sender godkenderen det har skabt sammen med TGT det modtog fra Active Directory-server , til Ticket Indrømmelse Server . Billetten Tildeling Server bruger godkenderen og TGT at oprette en ny SK . Det skaber også et digitalt certifikat kendt som en Target Server Ticket , som indeholder legitimationsoplysninger at kunden bliver nødt til at få adgang til filen er gemt på målet server . Den nye Target Server Ticket indeholder kundens navn og IP-adresse og en Target Server Ticket udløbstid , plus target serverens sikkerhedsnøglen og navnet på målet server. Den nye SK og Target Server Ticket er krypteret og sendes tilbage til klienten.
Target Server Authentication
Klienten sender den nye SK og Target server Billet til server hosting den fil, kunden ønsker at få adgang til. Målet serveren accepterer anmodningen, fordi anmodningen indeholder målet serverens sikkerhedsnøgle. Målet serveren dekrypterer Target Server billet og kontrollerer SK klientautentificering oplysninger klientens IP-adresse og den tid stempel. Fordi de fleste netadgang anmodninger kræver to- vejs kommunikation mellem klient og server hosting ressourcer , målet serveren bruger SK til at generere en meddelelse , herunder tidsstempel, som øges med én , og bruger SK s krypteringsnøgle til at kryptere denne meddelelse , som den sender tilbage til klienten for at bevise, at det er den server , som klienten ønsker at kommunikere med.
Resource Access
målet server er nu overbevist om, at klient-server har ret til at etablere en meddelelse session og kunden er tilfreds , at målet server er den korrekte server , som målserveren anerkendte den krypterede digitale sikkerhedsnøgle , at klienten præsenteres. Klient og server begge deler SK til at etablere en meddelelse session.
Dette betyder ikke, at kunden kan få adgang til filen er gemt på målet server . Kerberos giver sikker kommunikation kun mellem computere . Filer er beskyttet af deres egne individuelle ressource adgangstilladelser .