인증 티켓이란 무엇입니까?

인증 티켓은 Kerberos 네트워크 보안 프로토콜의 보안 구성 요소입니다. 클라이언트 컴퓨터와 서버간에 전달되는 작은 데이터 모음 인 토큰의 역할을하므로 두 컴퓨터가 서로의 신원을 증명할 수 있습니다. 이 상호 네트워크 식별 외에도, 티켓은 클라이언트가 서버 및 서비스에 액세스하기 위해 가지고있는 모든 권한과 세션에 할당 된 시간을 자세히 설명합니다.

인증 티켓에는 기본적으로 두 가지 유형이 있습니다. 티켓을 얻기위한 티켓이라고도하는 TGT (Ticket Granting Ticket)는 클라이언트 컴퓨터가 처음으로 ID를 설정할 때 발행되는 기본 티켓입니다. 이 유형의 티켓은 일반적으로 장기간 10 시간 이상 지속되며 사용자가 네트워크에 로그온 한 기간 동안 언제든지 갱신 할 수 있습니다. TGT를 사용하면 사용자는 네트워크의 다른 서버에 액세스하기 위해 개별 인증 티켓을 요청할 수 있습니다.

세션 티켓이라고도하는 클라이언트-서버 티켓은 두 번째 형태의 인증 티켓입니다. 일반적으로 클라이언트가 특정 서버의 서비스에 액세스하려고 할 때 전달되는 단기 티켓입니다. 세션 티켓에는 클라이언트 컴퓨터의 네트워크 주소, 사용자 정보 및 티켓이 유효한 기간이 포함됩니다. Microsoft의 Active Directory®와 같은 일부 Kerberos 구현에서는 조회 티켓이라고하는 세 번째 유형의 티켓도 사용할 수 있습니다. 이 티켓 유형은 클라이언트가 별도의 도메인에있는 서버에 액세스하려는 경우 부여됩니다.

Kerberos 티켓 부여 시스템의 작동 방식은 전체 인증 티켓 시스템을 제공하는 KDC (Key Distribution Center)라고하는 별도의 서버를 사용하는 것입니다. 이 시스템에는 두 개의 하위 구성 요소가 실행 중이며 첫 번째는 인증 서버 (AS)입니다. AS는 네트워크의 다른 모든 컴퓨터 및 사용자에 대해 알고 있으며 암호 데이터베이스를 유지합니다. 사용자가 네트워크에 로그온하면 AS는 그에게 TGT를 부여합니다.

사용자가 네트워크 어딘가에있는 서버에 액세스해야하는 시점에서 앞서 제공된 TGT를 사용하고 TDC (Ticket Granting Server)라고하는 KDC의 두 번째 부분에서 서비스 티켓을 요청합니다. TGS는 사용자에게 세션 티켓을 보낸 후이를 사용하여 요청한 서버에 액세스 할 수 있습니다. 서버는 세션 티켓을 받으면 다른 사용자에게 자신의 ID를 확인하고 사용자가 요청한 서비스에 액세스 할 수 있는지 확인하는 다른 메시지를 보냅니다. 추천 티켓의 경우 홈 도메인의 KDC가 대신 클라이언트가 다른 네트워크 도메인의 다른 KDC로부터 세션 티켓을 요청할 수있는 추천 티켓을 생성하는 추가 단계가 필요합니다. 이 전체 티켓 생성 및 공유 프로세스는 공격자가 도청하거나 사용자로 가장하는 것을 막기 위해 모든 단계에서 암호화됩니다.

인증 티켓 방법의 주요 단점은 모든 권한의 중앙 집중식 구조입니다. 공격자가 KDC에 액세스 할 수있게되면 본질적으로 모든 사용자 ID 및 암호에 액세스하여 다른 사람을 사칭 할 수 있습니다. 또한 KDC를 사용할 수 없게되면 아무도 네트워크를 사용할 수 없습니다. 또 다른 문제는 티켓의 자세한 수명주기이며, 네트워크의 모든 컴퓨터가 시계를 동기화해야합니다.