Сервер аутентификации Kerberos

Kerberos – это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.

Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты – пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом. Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S не станет обслуживать C), он должен не только назвать себя, но и продемонстрировать знание секретного ключа. C не может просто послать S свой секретный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, потому, что S не знает (и не должен знать) секретный ключ C. Требуется менее прямолинейный способ демонстрации знания секретного ключа.

Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.

Чтобы с помощью Kerberos получить доступ к S (обычно это сервер), C (как правило – клиент) посылает Kerberos запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый билет, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно), то есть продемонстрировал знание секретного ключа. Значит, клиент – именно тот, за кого себя выдает. Подчеркнем, что секретные ключи в процессе проверки подлинности не передавались по сети (даже в зашифрованном виде) – они только использовались для шифрования. Как организован первоначальный обмен ключами между Kerberos и субъектами и как субъекты хранят свои секретные ключи – вопрос отдельный.

Проиллюстрируем описанную процедуру рис. 7.5, на котором обозначено: c и s – сведения (например, имя), соответственно, о клиенте и сервере; d1 и d2 – дополнительная (по отношению к билету) информация; Tc.s – билет для клиента C на обслуживание у сервера S; Kc и Ks – секретные ключи клиента и сервера; {info}K – информация info, зашифрованная ключом K

 

Рис. 7.5. Проверка сервером S подлинности клиента C.

Протокол аутентификации Kerberos определяет взаимодействие между клиентом и сетевым сервисом аутентификации, известным как KDC (Key Distribution Center). В Windows NT KDC используется как сервис аутентификации на всех контроллерах домена. Домен Windows NT эквивалентен области Kerberos, но к ней обращаются как к домену. Реализация протокола Kerberos в Windows NT основана на определении Kerberos в RFC1510, клиент Kerberos реализован в виде ПФБ (поставщика функций безопасности) Windows NT, основанном на SSPI. Начальная аутентификация Kerberos интегрирована с процедурой WinLogon. Сервер Kerberos (KDC) интегрирован с существующими службами безопасности Windows NT, исполняемыми на контроллере домена. Для хранения информации о пользователях и группах он использует службу каталогов Active Directory.

Протокол Kerberos усиливает существующие функции безопасности Windows NT и добавляет новые:

- повышенная скорость аутентификации при установлении начального соединения (сервер приложений не обращается к контроллеру домена для аутентификации клиента);

- делегирование аутентификации в многоярусных архитектурах клиент-сервер (при подключении клиента к серверу, последний имперсонирует (олицетворяет) клиента в этой системе, но если серверу для завершения транзакции нужно выполнить сетевое подключение к другому серверу, протокол Kerberos позволяет делегировать аутентификацию первого сервера и подключиться ко второму от имени клиента);

- транзитивные доверительные отношения для междудоменной аутентификации (т.е пользователь может быть аутентифицирован в любом месте дерева доменов) упрощают управление доменами в больших сетях с несколькими доменами.

Интеграция Kerberos

Протокол Kerberos полностью интегрирован с системой безопасности и контроля доступа Windows NT. Начальная регистрация в Windows NT обеспечивается процедурой WinLogon, использующей ПФБ Kerberos для получения начального билета TGT. Другие компоненты системы, например, Redirector, применяют интерфейс SSPI к ПФБ Kerberos для получения сеансового билета для удаленного доступа к файлам сервера SMB.

Взаимодействие Kerberos

Протокол Kerberos версии 5 реализован в различных системах и используется для единообразия аутентификации в распределенной сети.

Под взаимодействием Kerberos подразумевается общий протокол, позволяющий учетным записям аутентифицированных пользователей, хранящимся в одной базе осуществлять доступ ко всем сервисам в гетерогенной среде. Взаимодействие Kerberos основывается на следующих характеристиках:

- общий протокол аутентификации пользователя или сервиса по основному имени при сетевом подключении;

- возможность определения доверительных отношений между областями Kerberos и создания ссылочных запросов билетов между областями;

- поддержка определенных в RFC 1510 требований к взаимодействию, относящихся к алгоритмам шифрования и контрольных сумм, взаимной аутентификации и другим возможностям билетов;

- поддержка форматов маркера безопасности Kerberos версии 5 для установления контекста и обмена сообщениями.