Kerberos est un service de protocole d'authentification qui est utilisé pour protéger les ressources réseau contre les accès non autorisés sur les réseaux client /serveur basée sur Microsoft, tels que ceux utilisant le serveur Microsoft Windows 2003. Kerberos protège les ressources telles que des fichiers et bases de données stockées sur les serveurs du réseau en s'assurant que seuls les clients qui se sont connectés avec succès au réseau peuvent accéder à ces services. Kerberos permet l'accès aux ressources qu'aux clients ayant comptes répertoriés dans un utilisateur du réseau et base de données de compte d'ordinateur , tels que Active Directory , utilisé par le serveur Windows 2003. Demande d' accord de ticket Ticket
Un ordinateur client sur un réseau , tel qu'un ordinateur de bureau exécutant Windows XP ou Windows 7, peut avoir besoin d' accéder à une ressource , telle qu'un fichier , stocké sur un réseau serveur de stockage de données . Le client envoie une requête au serveur numérique qu'il authentifié sur le réseau lors de la connexion . La requête demande au serveur d'authentification pour vérifier les informations d'identification du client dans Active Directory et créer un les certificats client devra présenter pour demander l'accès aux ressources du réseau. Le serveur Active Directory crée un certificat chiffré numérique, contenant une clé de session (SK ), et un ticket d'octroi Ticket ( TGT ) , dont il renvoie à l'ordinateur client .
Ticket d'octroi serveur < br > Photos
le client décrypte la clé de session andt crée un authentifiant numérique à envoyer à un ticket d'octroi Server. L'authentificateur contient le nom du client et son Protocole Internet ( IP) , plus d'un horodatage . Le ticket d'octroi Server est un serveur de réseau qui héberge le service de sécurité Kerberos. Sur un réseau client /serveur sous Windows, ce qui est généralement le serveur hébergeant le service d'authentification Active Directory.
Le client envoie l'authentificateur il a créé , en collaboration avec le TGT qu'il a reçu du serveur Active Directory, à le ticket d'octroi Server. Le ticket d'octroi Server utilise l' authentification et le TGT pour créer une nouvelle SK . Il crée également un certificat numérique connu comme un ticket du serveur cible , contenant des informations d'identification que le client aura besoin d'accéder au fichier stocké sur le serveur cible. Le nouveau billet du serveur cible contient le nom du client et l'adresse IP et d'un délai d'expiration du ticket de serveur cible , plus la clé de sécurité du serveur cible et le nom du serveur cible. La nouvelle SK et le ticket du serveur cible sont cryptées et envoyées au client .
Serveur cible authentification
Le client envoie le nouveau SK et la cible Ticket Server pour le serveur hébergeant le fichier que le client souhaite accéder . Le serveur cible accepte la demande parce que la demande contient la clé de sécurité du serveur cible . Le serveur cible décrypte le ticket du serveur cible et vérifie les informations de SK client d'authentification, l'adresse IP du client et l'horodatage . Comme la plupart des demandes d'accès au réseau nécessitent une communication bidirectionnelle entre le client et le serveur d'hébergement de ressources , le serveur cible utilise la SK pour générer un message , comprenant l'horodatage , incrémenté d'une unité , et utilise la clef de cryptage du SK pour crypter le message , qu'il envoie au client de prouver que c'est le serveur que le client souhaite communiquer avec .
accès aux ressources
le serveur cible est maintenant convaincu que l' client serveur a le droit d'établir une session de communication , et le client est satisfait que le serveur cible est un serveur correct, que le serveur cible a reconnu la clé de sécurité numérique cryptée que le client a présenté . Client et serveur partagent tous deux le SK pour établir une session de communication.
Cela ne signifie pas que le client peut accéder au fichier stocké sur le serveur cible. Kerberos permet une communication sécurisée entre les ordinateurs seulement . Les fichiers sont protégés par leurs propres autorisations d'accès aux ressources individuelles.