Qu'est-ce qu'un ticket d'authentification?
Un ticket d'authentification est un composant de sécurité du protocole de sécurité réseau Kerberos. Il s'agit en quelque sorte d'un jeton, d'une petite collection de données, passée entre un ordinateur client et un serveur, de sorte que les deux ordinateurs puissent prouver leur identité l'un pour l'autre. Au-delà de cette identification réseau mutuelle, le ticket détaille également les autorisations dont dispose le client pour accéder au serveur et à ses services, ainsi que le temps alloué pour la session.
Il existe essentiellement deux types de ticket d'authentification. Un ticket d'octroi de ticket (TGT), également appelé ticket d'obtention de tickets, est le ticket principal émis lorsque l'ordinateur client établit pour la première fois son identité. Ce type de ticket dure généralement plus de 10 heures ou plus et peut être renouvelé à tout moment pendant la période au cours de laquelle l'utilisateur est connecté au réseau. Avec un TGT, l'utilisateur peut ensuite demander des tickets d'authentification individuels pour accéder à d'autres serveurs du réseau.
Un ticket client à serveur, également appelé ticket de session, constitue la seconde forme de ticket d'authentification. Il s'agit généralement d'un ticket de courte durée qui est distribué lorsqu'un client souhaite accéder à un service sur un serveur particulier. Le ticket de session contient l'adresse réseau de l'ordinateur client, les informations utilisateur et une durée de validité du ticket. Dans certaines implémentations Kerberos, telles que Microsoft® Active Directory®, un troisième type de ticket, appelé ticket de parrainage, peut également être utilisé. Ce type de ticket est accordé lorsqu'un client souhaite accéder à un serveur qui réside sur un domaine distinct du sien.
Le système d'octroi de tickets Kerberos fonctionne via l'utilisation d'un serveur distinct, appelé centre de distribution de clés (KDC), qui fournit le système complet de tickets d'authentification. Cette machine comporte deux sous-composants en cours d'exécution, le premier étant appelé serveur d'authentification (AS). L'AS connaît tous les autres ordinateurs et utilisateurs du réseau et conserve une base de données de leurs mots de passe. Lorsqu'un utilisateur se connecte au réseau, le SA lui octroie un TGT.
Au moment où un utilisateur doit accéder à un serveur quelque part sur le réseau, il utilise le TGT donné précédemment et demande un ticket de service à la deuxième partie du KDC, appelé serveur d'octroi de ticket (TGS). Le TGS renvoie un ticket de session à l'utilisateur, qui peut ensuite l'utiliser pour accéder au serveur qu'il a demandé. Lorsque le serveur reçoit le ticket de session, il envoie un autre message à l'utilisateur, vérifiant son identité et lui indiquant qu'il est autorisé à accéder au service demandé. Dans le cas d'un ticket de référence, une étape supplémentaire est requise, le KDC du domaine d'origine créant plutôt un ticket de référence permettant au client de demander des tickets de session à un autre KDC sur un autre domaine de réseau. L'ensemble du processus de génération et de partage de tickets est chiffré à chaque étape du processus pour vous protéger contre les intrus ou les usurpations d'identité de la part d'un attaquant.
Le principal inconvénient de la méthode de ticket d'authentification est la structure centralisée de toutes les autorisations. Si un attaquant parvient à accéder au KDC, il obtient essentiellement l’accès à toutes les identités et mots de passe de l’utilisateur, puis peut se faire passer pour quelqu'un. De plus, si le KDC devenait indisponible, personne ne pourrait utiliser le réseau. Un autre problème concerne les cycles de vie détaillés des tickets, qui nécessitent la synchronisation de l'horloge de tous les ordinateurs du réseau.