Wat is een authenticatieticket?
Een authenticatieticket is een beveiligingscomponent van het Kerberos Network Security Protocol. Het fungeert als iets van een token, een kleine verzameling gegevens, die is doorgegeven tussen een clientcomputer en een server, zodat de twee computers identiteit met elkaar kunnen bewijzen. Naast deze wederzijdse netwerkidentificatie, beschrijft het ticket ook alle machtigingen die de client heeft voor toegang tot de server en de services, evenals een tijd die is toegewezen voor de sessie.
Er zijn in wezen twee soorten authenticatieticket. Een ticket -toekenningsticket (TGT), ook wel een ticket genoemd om tickets te krijgen, is het primaire ticket dat wordt uitgegeven wanneer de klantcomputer voor het eerst zijn identiteit vaststelt. Dit type ticket duurt meestal voor een lange periode, meer dan 10 of meer uren, en kan op elk moment worden verlengd tijdens de periode waarin de gebruiker op het netwerk is ingelogd. Met een TGT kan de gebruiker vervolgens individuele authenticatietickets aanvragen om toegang te krijgen tot andere servers op het netwerk.
Een client-to-server ticket, ook wel een sessieticket genoemd, is de tweede vorm van authenticatieticket. Dit is meestal een kortstondig ticket dat wordt uitgedeeld wanneer een client toegang wil hebben tot een service op een bepaalde server. Het sessieticket bevat het netwerkadres van de clientcomputer, de gebruikersinformatie en een duur waarin het ticket geldig is. In sommige Kerberos -implementaties, zoals Microsoft's® Active Directory®, kan een derde type ticket, een verwijzingsticket genoemd, ook worden gebruikt. Dit tickettype wordt verleend wanneer een client toegang wil hebben tot een server die zich op een domein bevindt, los van zijn eigen.
De manier waarop het Kerberos -ticketvergroeningssysteem werkt, is door het gebruik van een afzonderlijke server, bekend als het Key Distribution Center (KDC), dat het volledige authenticatiekaartsysteem biedt. Deze machine heeft twee subcomponenten die draaien, waarvan de eerste bekend staat als de authentics -server (AS). De AS weet alle andere computers en gebruikers op het netwerk en houdt een database van hun wachtwoorden bij. Wanneer een gebruiker zich aanmeldt op het netwerk, geeft de AS hem een tgt.
Op het punt waarop een gebruiker ergens op het netwerk toegang moet krijgen tot een server, gebruikt hij de eerder gegeven TGT en vraagt hij om een serviceticket van het tweede deel van de KDC, genaamd de Ticket Grant Server (TGS). De TGS stuurt een sessieticket terug naar de gebruiker, die deze vervolgens kan gebruiken om toegang te krijgen tot de server die hij heeft gevraagd. Wanneer de server het sessieticket ontvangt, stuurt het een ander bericht terug naar de gebruiker die zijn identiteit verifieert en dat de gebruiker toegang heeft tot de gevraagde service. In het geval van een verwijzingsticket is een extra stap vereist wanneer de KDC van het thuisdomein in plaats daarvan een verwijzingsticket maakt waarmee de klant sessietickets kan aanvragen bij een andere KDC op een ander netwerkdomein. Dit hele ticketgeneratie- en deelproces is gecodeerd bij elke stap Alang de weg om te beschermen tegen een aanvaller die als gebruiker afluistert of zich vermomt.
Het primaire nadeel van de authenticatieticketmethode is de gecentraliseerde structuur van alle autorisaties. Als een aanvaller erin slaagt toegang te krijgen tot de KDC, krijgt hij in wezen toegang tot alle gebruikersidentiteiten en wachtwoorden en kan hij zich dan voordoen als iemand. Verder, als de KDC niet beschikbaar is, zou niemand het netwerk kunnen gebruiken. Een ander probleem is de gedetailleerde levenscycli van de tickets, die vereisen dat alle computers op het netwerk hun klokken hebben gesynchroniseerd.