ВУЗ:
Составители:
о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и
Kerberos, недоступно), т.е. продемонстрировал знание секретного ключа. Значит, клиент – именно тот, за кого себя выдает.
Подчеркнем, что секретные ключи в процессе проверки подлинности не передавались по сети (даже в зашифрованном виде)
– они только использовались для шифрования. Как организован первоначальный обмен ключами между Kerberos и субъек-
тами и как субъекты хранят свои секретные ключи – вопрос отдельный.
Проиллюстрируем описанную процедуру рис. 9.5, на котором обозначено: c и s – сведения (например, имя), соответст-
венно, о клиенте и сервере; d1 и d2 – дополнительная (по отношению к билету) информация; Tc.s – билет для клиента C на
обслуживание у сервера S; Kc и Ks – секретные ключи клиента и сервера; {info}K – информация info, зашифрованная клю-
чом K.
Рис. 9.5. Проверка сервером S подлинности клиента C
Протокол аутентификации Kerberos определяет взаимодействие между клиентом и сетевым сервисом аутентифика-
ции, известным как KDC (Key Distribution Center). В Windows NT KDC используется как сервис аутентификации на всех
контроллерах домена. Домен Windows NT эквивалентен области Kerberos, но к ней обращаются как к домену. Реализация
протокола Kerberos в Windows NT основана на определении Kerberos в RFC1510, клиент Kerberos реализован в виде ПФБ
(поставщика функций безопасности) Windows NT, основанном на SSPI. Начальная аутентификация Kerberos интегрирована с
процедурой WinLogon. Сервер Kerberos (KDC) интегрирован с существующими службами безопасности Windows NT, ис-
полняемыми на контроллере домена. Для хранения информации о пользователях и группах он использует службу каталогов
Active Directory.
Протокол Kerberos усиливает существующие функции безопасности Windows NT и добавляет новые:
1)
повышенная скорость аутентификации при установлении начального соединения (сервер приложений не обращается
к контроллеру домена для аутентификации клиента);
2)
делегирование аутентификации в многоярусных архитектурах клиент-сервер (при подключении клиента к серверу,
последний имперсонирует (олицетворяет) клиента в этой системе, но если серверу для завершения транзакции нужно вы-
полнить сетевое подключение к другому серверу, протокол Kerberos позволяет делегировать аутентификацию первого сер-
вера и подключиться ко второму от имени клиента);
3)
транзитивные доверительные отношения для междудоменной аутентификации (т.е пользователь может быть аутен-
тифицирован в любом месте дерева доменов) упрощают управление доменами в больших сетях с несколькими доменами.
Интеграция Kerberos. Протокол Kerberos полностью интегрирован с системой безопасности и контроля доступа
Windows NT. Начальная регистрация в Windows NT обеспечивается процедурой WinLogon, использующей ПФБ Kerberos
для получения начального билета TGT. Другие компоненты системы, например, Redirector, применяют интерфейс SSPI к
ПФБ Kerberos для получения сеансового билета для удаленного доступа к файлам сервера SMB.
Взаимодействие Kerberos. Протокол Kerberos версии 5 реализован в различных системах и используется для единооб-
разия аутентификации в распределенной сети.
Под взаимодействием Kerberos подразумевается общий протокол, позволяющий учетным записям аутентифицирован-
ных пользователей, хранящимся в одной базе, осуществлять доступ ко всем сервисам в гетерогенной среде. Взаимодействие
Kerberos основывается на следующих характеристиках:
1)
общий протокол аутентификации пользователя или сервиса по основному имени при сетевом подключении;
2)
возможность определения доверительных отношений между областями Kerberos и создания ссылочных запросов
билетов между областями;
3)
поддержка определенных в RFC 1510 требований к взаимодействию, относящихся к алгоритмам шифрования и кон-
трольных сумм, взаимной аутентификации и другим возможностям билетов;
4)
поддержка форматов маркера безопасности Kerberos версии 5 для установления контекста и обмена сообщениями.
Поддержка Kerberos открытых ключей. В Windows NT также реализованы расширения протокола Kerberos, поддер-
живающие дополнительно к аутентификации с совместно используемым секретным ключом аутентификацию, основанную
на парах открытого (закрытого) ключа. Поддержка открытых ключей позволяет клиентам запрашивать начальный ключ TGT
с помощью закрытого ключа, в то время как KDC проверяет запрос с помощью открытого ключа, полученного из сертифи-
ката Х.509 (хранится в пользовательском объекте в каталоге Active Directory), Сертификат пользователя может быть выдан
Страницы
- « первая
- ‹ предыдущая
- …
- 90
- 91
- 92
- 93
- 94
- …
- следующая ›
- последняя »
