Escolar Documentos
Profissional Documentos
Cultura Documentos
Introduo
Protocolo de Autenticao de Rede.
Desenvolvido para fornecer forte autenticao para aplicaes
cliente/servidor.
Criptografia.
baseado no protocolo de Needham-Schroeder.
O usurio solicitado a digitar a senha uma nica vez por sesso de trabalho.
Usurios podem acessar de forma transparente todos os servios que esto
autorizados sem ter que redigitar a senha. Single Sign-On.
2. Quando o usurio muda sua senha, ela alterada para todos os servios ao
mesmo tempo;
PrincipalService: entrada associada com o servio do bilhete que est sendo solicitado (por
exemplo: krbtgt/REALM@REALM).
IP_list: Lista de IPs onde se pode utilizar o bilhete que ser emitido (servidores).
KDC
Cliente
Authentication Server Reply
(AS_REP) I
Quando o request anterior chega, o AS verifica se o PrincipalClient e o
PrincipalService existem no banco de dados do KDC, se pelo menos um deles
no existe uma mensagem de erro retornada ao cliente, caso contrrio o AS
procede da seguinte maneira:
Uma vez que a informao presente no TGT criptografada utilizando a chave secreta
para o servidor, ela no pode ser lida pelo cliente e precisa ser repetida. Neste ponto,
quando o cliente recebe a mensagem de resposta, ser solicitado ao usurio digitar a
senha. O dado do usurio concatenado com a senha e, em seguida, a funo
string2key aplicada: com a chave resultante feita uma tentativa para decodificar a
parte da mensagem criptografada pelo KDC usando a chave secreta do usurio
armazenada na base de dados. Se o usurio realmente quem diz e se digitou a senha
correta, a operao de decriptao ser bem-sucedida e, portanto, a chave de sesso
pode ser extrada, o TGT (que permanecer criptografado) armazenado em cache de
credenciais do usurio.
Authentication Server Request
(AS_REQ)
KDC
Cliente
Ticket Granting Server Request
(TGS_REQ)
Aps o usurio obter o TGT e a chave de sesso e deseja acessar o servio, mas
ainda no possui o ticket de servio, envia-se um pedido (TGS_REQ) para o TGS
da seguinte maneira:
KDC
Cliente
Ticket Granting Server Replay
(TGS_REP) I
Ao receber o TGS_REQ, o TGS verifica se o PrincipalService existe no banco de
dados do KDC: caso exista, a requisio aberta usando a chave para o Principal
extraindo a chave de sesso (SKtgs) que usada para descriptografar o
Autenticador. Para emitir o ticket do servio solicitado verificam-se algumas
condies:
O TGT no expirou;
Quando o cliente recebe a resposta, tendo no cache a chave SKtgs, ele pode
descriptografar parte da mensagem que contem as outras chaves e memoriz-las
junto com o ticket Tservice que, entretanto, permanece criptografado.
Authentication Server Request
(AS_REQ)
KDC
Cliente
Application Request (AP_REQ) I
O cliente, tendo as credenciais para acessar o servio (o ticket e as chaves
mencionadas), pode pedir ao servidor de aplicaes para acessar o recurso via
uma mensagem AP_REQ. Essa mensagem no padronizada, varia de acordo
com a aplicao solicitada, definida pelo programador da aplicao que define
a estratgia utilizada para validar o acesso do cliente. Entretando, pode ser
considerada a seguinte exemplo:
KDC
Cliente
App Server
Application Request (AP_REQ) II
Quando a mensagem chega, o servidor da aplicao abre o ticket, usando a
Kservice, e extrai a chave SKservice, que usada para descriptografar o
autenticador. Para estabelecer que a requisio do usurio est autenticada e
garantir o acesso ao servio, o servidor verifica as seguintes condies:
O ticket no expirou;
Nota: Essa estratgia muito similar a utilizada pelo TGS para checar a
autenticidade da requisio do cliente ao solicitar um ticket para um servio. TGS
pode ser considerado como um servidor de aplicativos cujo servio fornecer
tickets para aqueles que provam sua identidade com um TGT.
Principais Vantagens
Proteo por senha: As senhas dos usurios no precisam ser enviadas atravs da
rede.
Para que um aplicativo use o Kerberos, sua fonte deve ser alterada para fazer
as chamadas apropriadas s bibliotecas do Kerberos. Os aplicativos
modificados desta maneira so considerados kerberizados. Para alguns
aplicativos, isto pode ser bastante problemtico outros so incompatveis.
Aplicativos de cdigo fechado que no tm suporte ao Kerberos por padro
so geralmente os mais problemticos.
http://www.kerberos.org/software/tutorial.html
http://en.wikipedia.org/wiki/Kerberos_(protocol)#History_and_development
http://www.funhen.com/quais-sao-as-vantagens-de-kerberos/
www.aavellar.com/arquivos/cripto/Kerberos.ppt