Hvad er en godkendelsesbillet?
En godkendelsesbillet er en sikkerhedskomponent i Kerberos Network Security Protocol. Det fungerer som noget af et token, en lille samling af data, der passeres mellem en klientcomputer og en server, så de to computere kan bevise identitet til hinanden. Ud over denne gensidige netværksidentifikation beskriver billetten også uanset tilladelser, som klienten har for at få adgang til serveren og dens tjenester, såvel som en tid tildelt sessionen.
Der er i det væsentlige to typer godkendelsesbillet. En billet, der giver billet (TGT), også kaldet en billet for at få billetter, er den primære billet, der udstedes, når klientcomputeren først etablerer sin identitet. Denne type billet varer typisk i en lang periode, op til 10 eller flere timer og kan fornyes når som helst i den periode, hvor brugeren er logget på netværket. Med en TGT er brugeren i stand til derefter at anmode om individuelle godkendelsesbilletter for at få adgang til andre servere på netværket.
En klient-til-server-billet, også kaldet en session billet, er den anden form for godkendelsesbillet. Dette er typisk en kortvarig billet, der uddeles, når en klient ønsker at få adgang til en service på en bestemt server. Session -billetten indeholder klientcomputerens netværksadresse, brugerinformationen og en varighed, hvor billetten er gyldig. I nogle Kerberos -implementeringer, såsom Microsoft's® Active Directory®, kan en tredje type billet, kaldet en henvisningsbillet, også bruges. Denne billettype tildeles, når en klient ønsker at få adgang til en server, der findes på et domæne adskilt fra sin egen.
Den måde, Kerberos Ticket -tildelingssystem fungerer på, er ved hjælp af en separat server, kendt som Key Distribution Center (KDC), der giver hele godkendelsesbilletsystemet. Denne maskine har to underkomponenter, der kører, hvoraf den første er kendt som autentenIcation Server (AS). Den som ved om alle de andre computere og brugere på netværket og holder en database over deres adgangskoder. Når en bruger logger på netværket, giver As As ham en TGT.
På det tidspunkt, hvor en bruger har brug for at få adgang til en server et eller andet sted på netværket, bruger han TGT, der er givet tidligere og anmoder om en servicebillet fra den anden del af KDC, kaldet Ticket Prounding Server (TGS). TGS sender en session billet tilbage til brugeren, som derefter kan bruge den til at få adgang til den server, han anmodede om. Når serveren modtager session -billetten, sender den en anden besked tilbage til brugeren, der bekræfter dens identitet, og at brugeren får adgang til den anmodede service. I tilfælde af en henvisningsbillet kræves der et ekstra trin, hvor KDC for hjemmedomænet i stedet opretter en henvisningsbillet, der giver klienten mulighed for at anmode om session -billetter fra en anden KDC på et andet netværksdomæne. Hele denne billetgenerering og delingsprocessen er krypteret ved hvert trin aLang vej til at beskytte mod en angriber, der afleder eller maskerer sig som bruger.
Den primære ulempe ved godkendelsesbilletmetoden er den centraliserede struktur for alle tilladelser. Hvis en angriber formår at få adgang til KDC, får han i det væsentlige adgang til alle brugeridentiteter og adgangskoder og kan derefter efterligne nogen. Hvis KDC er utilgængelig, ville ingen være i stand til at bruge netværket. Et andet problem er de detaljerede livscyklusser for billetterne, som kræver, at alle computere på netværket har deres ure synkroniseret.