Kerberos är ett autentiseringsprotokoll tjänst som används för att skydda nätverksresurser från obehörig åtkomst på Microsoft klient /server - baserade nätverk, till exempel de som använder Microsoft Windows 2003-server . Kerberos skyddar resurser såsom filer och databaser som lagras på servrar genom att säkerställa att endast kunder som har loggat in på nätverket kan komma åt dessa tjänster . Kerberos tillåter resurs tillgång endast till kunder med konton som anges i en nätanvändare och datorkonto databasen, till exempel Active Directory , som används av Windows 2003 server . Begäran om en Ticket Granting Ticket
En klientdator i ett nätverk , t.ex. en stationär dator som kör Windows XP eller Windows 7 , kan behöva komma åt en resurs, t.ex. en fil som lagras på ett nätverk datalagring server . Klienten skickar en digital begäran till den server som autentiserade den på nätverket under inloggning . Begäran frågar servern för att kontrollera kundens identitet i Active Directory och skapa ett certifikat på klienten kommer att behöva lägga fram för att begära tillgång till nätverksresurser . Active Directory-servern skapar en krypterad digitalt certifikat innehåller en session nyckel ( SK ) , och en Ticket Granting Ticket ( TGT ) , som den sänder tillbaka till klientdatorn .
Ticket Granting Server
klienten dekrypterar Session Key andt skapar en digital authenticator att skicka till en Ticket Granting Server . Autentiseraren innehåller klientens namn , och dess Internet Protocol ( IP ) -adress , plus en tidsstämpel . Ticket Granting Server är ett nätverk server hosting Kerberos säkerhetstjänsten . På en Windows - baserad klient /server -nätverk , är det vanligtvis den server som är värd för Active Directory- autentisering .
Klienten skickar autentiseraren det har skapat , tillsammans med TGT den fått från Active Directory-servern , till Ticket Granting Server . Ticket Granting Server använder autentiseraren och TGT att skapa en ny SK . Det skapar också ett digitalt certifikat kallas Target Server Ticket , som innehåller referenser som kunden behöver för att komma åt filen lagras på målservern . Den nya Target Server Ticket innehåller klientens namn och IP -adress och en Target Server Ticket utgången tid , plus målet serverns säkerhet nyckel och namnet på målservern . Den nya SK och Target Server Ticket krypteras och skickas tillbaka till klienten .
Target Server Authentication
Klienten skickar nya SK och Target Server Ticket till servern som är värd för filen som klienten vill komma åt . Målet servern accepterar begäran eftersom begäran innehåller målet serverns säkerhetsnyckel . Den målserver dekrypterar Ticket Target Server och kontrollerar SK informationen klientautentiseringen , klienten IP-adress och tidsstämpel . Eftersom de flesta nätverk åtkomstförfrågningar kräver tvåvägskommunikation mellan klient och server hosting resurser , använder målservern SK att generera ett meddelande , inklusive tidsstämpel , ökas med ett , och använder SK krypteringsnyckel för att kryptera meddelandet , som den sänder tillbaka till kunden att bevisa att det är servern som klienten vill kommunicera med .
Resource Tillgång
målserver är nu övertygad om att klient -server har rätt att upprätta en kommunikation session , och kunden är nöjd att målet servern är rätt server , som målservern erkände den krypterade digitala säkerhetsnyckel att klienten presenteras. Klient och server båda delar SK att upprätta en kommunikation session .
Detta betyder inte att kunden kan komma åt filerna som lagras på målservern . Kerberos möjliggör säker kommunikation enbart mellan datorer . Filer skyddas av sina egna individuella behörigheter Resursåtkomsten .
