Hva er en godkjenningsbillett?

En godkjenningsbillett er en sikkerhetskomponent i Kerberos Network Security Protocol. Det fungerer som noe av et token, en liten samling av data, som er bestått mellom en klientdatamaskin og en server, slik at de to datamaskinene kan bevise identitet for hverandre. Utover denne gjensidige nettverksidentifikasjonen, beskriver billetten også hvilke tillatelser klienten har for tilgang til serveren og dens tjenester, samt en tid som er tildelt for økten.

Det er i hovedsak to typer godkjenningsbillett. En billett som gir billett (TGT), også omtalt som en billett for å få billetter, er den primære billetten som er utstedt når klientdatamaskinen først etablerer identiteten. Denne typen billett varer vanligvis i en lang periode, oppover 10 eller flere timer, og kan fornyes når som helst i løpet av den perioden brukeren er logget på nettverket. Med en TGT kan brukeren deretter be om individuelle autentiseringsbilletter for å få tilgang til andre servere i nettverket.

En klient-til-server-billett, også omtalt som en øktbillett, er den andre formen for autentiseringsbillett. Dette er vanligvis en kortvarig billett som deles ut når en klient ønsker å få tilgang til en tjeneste på en bestemt server. Øktbilletten inneholder klientdatamaskinens nettverksadresse, brukerinformasjon og en varighet der billetten er gyldig. I noen Kerberos -implementeringer, for eksempel Microsofts® Active Directory®, kan en tredje type billett, kalt en henvisningsbillett, også brukes. Denne billetttypen gis når en klient ønsker å få tilgang til en server som ligger på et domene atskilt fra sitt eget.

Måten Kerberos -billettstillingssystemet fungerer på er gjennom bruk av en egen server, kjent som Key Distribution Center (KDC), som gir hele autentiseringsbillettsystemet. Denne maskinen har to underkomponenter som kjører, hvorav den første er kjent som autentyiication Server (AS). AS -en som vet om alle de andre datamaskinene og brukerne i nettverket og holder en database med passordene sine. Når en bruker logger seg på nettverket, gir han ham en Tgt.

På det punktet der en bruker trenger å få tilgang til en server et sted i nettverket, bruker han TGT gitt tidligere og ber om en servicebillett fra den andre delen av KDC, kalt Ticket Granting Server (TGS). TGS sender en øktbillett tilbake til brukeren, som deretter kan bruke den til å få tilgang til serveren han ba om. Når serveren mottar øktbilletten, sender den en annen melding tilbake til brukeren som verifiserer identiteten, og at brukeren har lov til å få tilgang til den forespurte tjenesten. Når det gjelder en henvisningsbillett, kreves det et ekstra trinn der KDC i hjemmedomenet i stedet oppretter en henvisningsbillett som lar klienten be om øktbilletter fra et annet KDC på et annet nettverksdomene. Hele billettgenerasjonen og delingsprosessen er kryptert på hvert trinn Alang vei å beskytte mot en angriper som avlytter eller maskerer som bruker.

Den primære ulempen med autentiseringsbillettmetoden er den sentraliserte strukturen til alle autorisasjoner. Hvis en angriper klarer å få tilgang til KDC, får han i hovedsak tilgang til alle brukeridentiteter og passord og kan da etterligne hvem som helst. Hvis KDC blir utilgjengelig, ville ingen kunne bruke nettverket. En annen sak er de detaljerte livssyklusene til billettene, som krever at alle datamaskinene i nettverket har klokkene synkronisert.