Co je autentizační lístek?
Autentizační lístek je součást zabezpečení protokolu zabezpečení Kerberos. Působí jako token, malá sbírka dat, předávaná mezi klientským počítačem a serverem, takže oba počítače si mohou navzájem prokazovat identitu. Kromě této vzájemné identifikace v síti, lístek také podrobně popisuje všechna oprávnění, která má klient pro přístup k serveru a jeho službám, jakož i čas vyhrazený pro relaci.
V zásadě existují dva typy ověřovacích lístků. Lístek udělující lístek (TGT), označovaný také jako lístek k získání lístků, je primární lístek vydaný, když klientský počítač poprvé zjistí svou totožnost. Tento typ lístku obvykle trvá dlouhou dobu, a to až o 10 nebo více hodin, a lze jej kdykoli obnovit během doby, kdy je uživatel přihlášen k síti. S TGT pak uživatel může požádat o individuální autentizační lístky pro přístup k dalším serverům v síti.
Druhou formou autentizačního lístku je lístek klient-server, který se také nazývá relační lístek. Toto je obvykle krátkodobá jízdenka, která se rozdává, když si klient přeje získat přístup ke službě na konkrétním serveru. Lístek relace obsahuje síťovou adresu klientského počítače, informace o uživateli a dobu, po kterou je lístek platný. V některých implementacích Kerberos, jako je Microsoft Active Directory®, lze také použít třetí typ lístku, který se nazývá doporučující lístek. Tento typ lístku je udělen, když si klient přeje přistoupit k serveru, který je umístěn v doméně, která je oddělená od jeho vlastního.
Způsob, jakým systém udělování lístků Kerberos funguje, je pomocí samostatného serveru, známého jako středisko distribuce klíčů (KDC), které poskytuje celý systém ověřovacích lístků. Tento stroj má spuštěné dvě podsložky, z nichž první je označována jako ověřovací server (AS). AS ví o všech ostatních počítačích a uživatelích v síti a udržuje databázi svých hesel. Když se uživatel přihlásí do sítě, AS mu udělí TGT.
V okamžiku, kdy uživatel potřebuje přístup k serveru někde v síti, použije dříve zadaný TGT a vyžádá si servisní lístek z druhé části KDC, nazvaný server udělování vstupenek (TGS). TGS odešle relační lístek zpět uživateli, který jej pak může použít pro přístup k požadovanému serveru. Když server obdrží lístek na relaci, odešle zpět uživateli zprávu, která ověřuje jeho totožnost a že uživatel má povolený přístup k požadované službě. V případě doporučeného lístku je vyžadován další krok, kdy KDC domovské domény místo toho vytvoří doporučovací lístek, který umožňuje klientovi požadovat vstupenky na relaci od jiného KDC v jiné síťové doméně. Celý tento proces generování a sdílení vstupenek je šifrován v každém kroku na cestě k ochraně před útočníkem odposloucháváním nebo maskováním jako uživatel.
Primární nevýhodou metody autentizačního lístku je centralizovaná struktura všech autorizací. Pokud se útočníkovi podaří získat přístup ke KDC, získá v zásadě přístup ke všem totožnostem a heslům uživatelů a může se tedy vydávat za kohokoliv. Dále, pokud by se KDC stala nedostupnou, nikdo by nemohl síť používat. Dalším problémem jsou podrobné životní cykly jízdenek, které vyžadují synchronizaci všech počítačů v síti.