Cos'è un biglietto di autenticazione?
Un biglietto di autenticazione è un componente di sicurezza del protocollo di sicurezza della rete Kerberos. Agisce come una specie di token, una piccola raccolta di dati, passata tra un computer client e un server, in modo che i due computer possano dimostrare l'identità reciproca. Al di là di questa identificazione reciproca della rete, il ticket descrive anche le autorizzazioni che il client ha per accedere al server e ai suoi servizi, nonché un tempo assegnato per la sessione.
Esistono essenzialmente due tipi di ticket di autenticazione. Un biglietto che concede il biglietto (TGT), anche indicato come biglietto per ottenere i biglietti, è il biglietto principale emesso quando il computer del cliente stabilisce per la prima volta la sua identità. Questo tipo di biglietto dura in genere per un lungo periodo, oltre 10 o più ore e può essere rinnovato in qualsiasi momento durante il periodo in cui l'utente viene effettuato l'accesso alla rete. Con un TGT, l'utente è in grado di richiedere i singoli biglietti di autenticazione per accedere ad altri server sulla rete.
Un ticket client-server, anche indicato come ticket di sessione, è la seconda forma di ticket di autenticazione. Questo è in genere un biglietto di breve durata che viene distribuito quando un cliente desidera accedere a un servizio su un determinato server. Il ticket di sessione contiene l'indirizzo di rete del computer client, le informazioni dell'utente e una durata in cui il ticket è valido. In alcune implementazioni di Kerberos, come Microsoft's® Active Directory®, un terzo tipo di biglietto, chiamato biglietto di riferimento, può anche essere utilizzato. Questo tipo di ticket è concesso quando un client desidera accedere a un server che risiede su un dominio separato dal proprio.
Il modo in cui funziona il sistema di concessione del biglietto Kerberos è attraverso l'uso di un server separato, noto come Key Distribution Center (KDC), che fornisce l'intero sistema di biglietti di autenticazione. Questa macchina ha due sottocomponenti in esecuzione, il primo dei quali è noto come autenticoServer Iicazione (AS). AS conosce tutti gli altri computer e utenti sulla rete e mantiene un database delle loro password. Quando un utente accede alla rete, come concede un tgt.
Nel punto in cui un utente deve accedere a un server da qualche parte sulla rete, utilizza il TGT fornito in precedenza e richiede un ticket di servizio dalla seconda parte del KDC, chiamato server di concessione del ticket (TGS). Il TGS invia un ticket di sessione all'utente, che può quindi usarlo per accedere al server richiesto. Quando il server riceve il ticket di sessione, invia un altro messaggio all'utente che verifica la propria identità e che l'utente è autorizzato ad accedere al servizio richiesto. Nel caso di un ticket di riferimento, è richiesto un passo in più in cui il KDC del dominio di casa crea invece un ticket di riferimento che consente al cliente di richiedere i biglietti di sessione da un altro KDC su un diverso dominio di rete. L'intero processo di generazione e condivisione dei biglietti è crittografato ad ogni passaggio alungo il modo di proteggere da un aggressore che interrompe o si maschera come utente.
Lo svantaggio principale del metodo del biglietto di autenticazione è la struttura centralizzata di tutte le autorizzazioni. Se un utente malintenzionato riesce ad avere accesso al KDC, essenzialmente ottiene l'accesso a tutte le identità e le password degli utenti e può quindi impersonare chiunque. Inoltre, se il KDC dovesse diventare non disponibile, nessuno sarebbe in grado di utilizzare la rete. Un altro problema sono i cicli di vita dettagliati dei biglietti, che richiedono che tutti i computer sulla rete abbiano i loro orologi sincronizzati.