Co je to ověřovací lístek?
Vstupenka na ověření je bezpečnostní součástí protokolu zabezpečení sítě Kerberos. Působí jako něco jako token, malá sbírka dat, předávaných mezi klientským počítačem a serverem, aby tyto dva počítače mohli navzájem prokázat identitu. Kromě této identifikace vzájemné sítě podrobně popisuje jakákoli oprávnění, která klient má pro přístup ke serveru a jeho službám, a také čas přidělený pro relaci.
V podstatě existují dva typy ověřovacích lístků. Vstupenka na lístek (TGT), také označovaný jako lístek na získání vstupenek, je primárním lístkem vydanou, když klientský počítač poprvé stanoví svou identitu. Tento typ lístku obvykle trvá po dlouhou dobu, více než 10 a více hodin, a lze jej kdykoli obnovit během období, kdy je uživatel přihlášen do sítě. S TGT je uživatel schopen požádat o jednotlivé vstupenky na ověření pro přístup k jiným serverům v síti.
Vstupenka na klient-to-server, také označovaná jako lístek na relaci, je druhou formou ověřovacího lístku. Toto je obvykle krátkodobá lístek, který je rozdáván, když si klient přeje získat přístup ke službě na konkrétním serveru. Vstupenka na relace obsahuje síťovou adresu klientského počítače, informace o uživateli a dobu trvání, kdy je lístek platný. V některých implementacích Kerberos, jako je Microsoft's® Active Directory®, lze také použít třetí typ lístku, nazývaný lístek na doporučení. Tento typ vstupenky je udělen, když si klient přeje získat přístup ke serveru, který sídlí na doméně odděleně od vlastní.
6 Tento stroj má běh dvou subponencí, z nichž první je známý jako autentickáIcation Server (AS). AS ví o všech ostatních počítačích a uživatelích v síti a udržuje databázi svých hesel. Když se uživatel přihlásí do sítě, As mu udělí TGT.V okamžiku, kdy uživatel potřebuje přistupovat ke serveru někde v síti, používá dříve daný TGT a požaduje servisní lístek z druhé části KDC s názvem The Ticket Granturing Server (TGS). TGS odešle lístek na relaci zpět uživateli, který ji pak může použít k přístupu k serveru, který požadoval. Když server obdrží lístek na relaci, odešle další zprávu zpět uživateli, který ověřuje jeho identitu a že uživateli má přístup k požadované službě. V případě lístku na doporučení je vyžadován další krok, kde místo toho KDC domácí domény vytvoří lístek na doporučení, která umožňuje klientovi vyžádat si vstupenky z jiné KDC v jiné síťové doméně. Celý tento proces generování a sdílení vstupenek je šifrován v každém kroku adlouho způsob, jak chránit před útočníkem odposloucháváním nebo maskováním jako uživatel.
Primární nevýhodou metody ověřování je centralizovaná struktura všech oprávnění. Pokud se útočníkovi podaří získat přístup k KDC, v zásadě získá přístup ke všem uživatelským identitům a heslům a pak může někoho vydávat. Dále, pokud by se KDC stala k dispozici, nikdo by síť nemohl používat. Dalším problémem jsou podrobné životní cykly vstupenek, které vyžadují, aby všechny počítače v síti byly synchronizovány hodiny.