Che cos'è un ticket di autenticazione?

Un ticket di autenticazione è un componente di sicurezza del protocollo di sicurezza della rete Kerberos. Funziona come qualcosa di un token, una piccola raccolta di dati, passati tra un computer client e un server, in modo che i due computer possano dimostrarsi reciprocamente identici. Oltre a questa identificazione reciproca della rete, il ticket fornisce anche i dettagli delle autorizzazioni del client per l'accesso al server e ai suoi servizi, nonché un orario assegnato per la sessione.

Esistono essenzialmente due tipi di ticket di autenticazione. Un ticket di concessione ticket (TGT), noto anche come ticket per ottenere ticket, è il ticket principale emesso quando il computer client stabilisce per la prima volta la sua identità. Questo tipo di biglietto in genere dura per un lungo periodo, fino a 10 o più ore, e può essere rinnovato in qualsiasi momento durante il periodo in cui l'utente è connesso alla rete. Con un TGT, l'utente è quindi in grado di richiedere singoli ticket di autenticazione per accedere ad altri server sulla rete.

Un ticket client-server, noto anche come ticket di sessione, è la seconda forma di ticket di autenticazione. In genere si tratta di un ticket di breve durata che viene distribuito quando un client desidera accedere a un servizio su un determinato server. Il ticket di sessione contiene l'indirizzo di rete del computer client, le informazioni dell'utente e una durata in cui il ticket è valido. In alcune implementazioni Kerberos, come Microsoft® Active Directory®, è possibile utilizzare anche un terzo tipo di ticket, chiamato ticket di riferimento. Questo tipo di ticket è concesso quando un client desidera accedere a un server che risiede su un dominio separato dal proprio.

Il modo in cui funziona il sistema di concessione dei ticket Kerberos è attraverso l'uso di un server separato, noto come centro di distribuzione delle chiavi (KDC), che fornisce l'intero sistema di ticket di autenticazione. Questa macchina ha due sottocomponenti in esecuzione, il primo dei quali è noto come server di autenticazione (AS). L'AS è a conoscenza di tutti gli altri computer e utenti in rete e mantiene un database delle loro password. Quando un utente accede alla rete, l'AS gli concede un TGT.

Nel momento in cui un utente deve accedere a un server da qualche parte sulla rete, utilizza il TGT fornito in precedenza e richiede un ticket di servizio dalla seconda parte del KDC, chiamato ticket granting server (TGS). Il TGS invia un ticket di sessione all'utente, che può quindi utilizzarlo per accedere al server richiesto. Quando il server riceve il ticket di sessione, invia un altro messaggio all'utente verificando la sua identità e che l'utente è autorizzato ad accedere al servizio richiesto. Nel caso di un ticket di riferimento, è necessario un passaggio aggiuntivo in cui il KDC del dominio principale crea invece un ticket di riferimento che consente al client di richiedere i ticket di sessione da un altro KDC su un dominio di rete diverso. L'intero processo di generazione e condivisione dei ticket viene crittografato in ogni fase del percorso per proteggersi da un utente malintenzionato che intercetta o si maschera da utente.

Lo svantaggio principale del metodo del ticket di autenticazione è la struttura centralizzata di tutte le autorizzazioni. Se un utente malintenzionato riesce a ottenere l'accesso al KDC, in sostanza ottiene l'accesso a tutte le identità e le password degli utenti e può quindi impersonare chiunque. Inoltre, se il KDC non fosse disponibile, nessuno sarebbe in grado di utilizzare la rete. Un altro problema sono i cicli di vita dettagliati dei ticket, che richiedono che tutti i computer della rete abbiano i loro orologi sincronizzati.

ALTRE LINGUE

Questo articolo è stato utile? Grazie per il feedback Grazie per il feedback

Come possiamo aiutare? Come possiamo aiutare?