인증 티켓이란 무엇입니까?
인증 티켓은 Kerberos 네트워크 보안 프로토콜의 보안 구성 요소입니다. 클라이언트 컴퓨터와 서버 사이에 전달 된 작은 데이터 모음 인 토큰의 역할을하여 두 컴퓨터가 서로 신원을 증명할 수 있습니다. 이 뮤추얼 네트워크 식별 외에도 티켓은 고객이 서버 및 서비스에 액세스하기 위해 보유한 권한과 세션에 할당 된 시간을 자세히 설명합니다.
본질적으로 두 가지 유형의 인증 티켓이 있습니다. 티켓을 받기위한 티켓이라고도하는 티켓 부여 티켓 (TGT)은 클라이언트 컴퓨터가 처음 신원을 설정할 때 발행 된 주요 티켓입니다. 이 유형의 티켓은 일반적으로 오랫동안 10 시간 이상 지속되며 사용자가 네트워크에 로그인 한 기간 동안 언제든지 갱신 할 수 있습니다. TGT를 사용하면 사용자는 네트워크의 다른 서버에 액세스하기 위해 개별 인증 티켓을 요청할 수 있습니다.
세션 티켓이라고도하는 클라이언트 대 서버 티켓은 두 번째 형태의 인증 티켓입니다. 이것은 일반적으로 클라이언트가 특정 서버에서 서비스에 액세스하려고 할 때 나눠지는 짧은 티켓입니다. 세션 티켓에는 클라이언트 컴퓨터의 네트워크 주소, 사용자 정보 및 티켓이 유효한 기간이 포함됩니다. 추천 티켓이라고하는 세 번째 유형의 티켓 인 Microsoft's® Active Directory®와 같은 일부 Kerberos 구현에서도 사용할 수 있습니다. 이 티켓 유형은 클라이언트가 자체와 별도로 도메인에있는 서버에 액세스하려는 경우 부여됩니다.
Kerberos 티켓 부여 시스템의 작동 방식은 전체 인증 티켓 시스템을 제공하는 KDC (Key Distribution Center)로 알려진 별도의 서버를 사용하는 것입니다. 이 기계에는 두 개의 하위 구성 요소가 실행 중이며 첫 번째는 인증으로 알려져 있습니다.ICITION 서버 (AS). AS는 네트워크의 다른 모든 컴퓨터 및 사용자에 대해 알고 있으며 비밀번호 데이터베이스를 유지합니다. 사용자가 네트워크에 로그인하면 Tgt.
를 부여합니다.사용자가 네트워크 어딘가에 서버에 액세스 해야하는 시점에서 이전에 주어진 TGT를 사용하고 TGS (Ticket Granting Server)라고하는 KDC의 두 번째 부분에서 서비스 티켓을 요청합니다. TGS는 세션 티켓을 사용자에게 다시 보낸 다음 요청한 서버에 액세스하는 데 사용할 수 있습니다. 서버가 세션 티켓을 수신하면 다른 메시지를 사용자에게 다시 보내고 신원을 확인하고 사용자가 요청한 서비스에 액세스 할 수 있도록 허용됩니다. 추천 티켓의 경우, 홈 도메인의 KDC가 대신 고객이 다른 네트워크 도메인에서 다른 KDC에서 세션 티켓을 요청할 수있는 추천 티켓을 생성하는 경우 추가 단계가 필요합니다. 이 전체 티켓 생성 및 공유 프로세스는 모든 단계에서 암호화됩니다.공격자가 사용자로서 도청하거나 가장 무도회로부터 보호하는 방법.
인증 티켓 방법에 대한 주요 단점은 모든 권한의 중앙 구조입니다. 공격자가 KDC에 액세스 할 수있게되면 본질적으로 모든 사용자 신원 및 비밀번호에 액세스 할 수 있으며 누군가를 가장 할 수 있습니다. 또한 KDC를 사용할 수 없게되면 아무도 네트워크를 사용할 수 없습니다. 또 다른 문제는 티켓의 상세한 수명주기입니다. 네트워크의 모든 컴퓨터에 시계가 동기화되어야합니다.