Hva er en autentiseringsbillett?
En autentiseringsbillett er en sikkerhetskomponent i Kerberos nettverkssikkerhetsprotokoll. Det fungerer som noe av et symbol, en liten datainnsamling som sendes mellom en klientdatamaskin og en server, slik at de to datamaskinene kan bevise identitet til hverandre. Utover denne gjensidige nettverksidentifikasjonen, beskriver billetten også hvilke tillatelser klienten har for å få tilgang til serveren og dens tjenester, samt en tid som er avsatt for økten.
Det er i hovedsak to typer autentiseringsbillett. En billett som gir billett (TGT), også kalt en billett for å skaffe billetter, er den primære billetten som ble utstedt når klientdatamaskinen først oppretter identiteten. Denne typen billetter varer vanligvis i en lang periode, oppover 10 eller flere timer, og kan fornyes når som helst i løpet av den perioden brukeren er logget inn på nettverket. Med en TGT kan brukeren deretter be om individuelle autentiseringsbilletter for å få tilgang til andre servere i nettverket.
En klient til server-billett, også kalt sesjonsbillett, er den andre formen for autentiseringsbillett. Dette er vanligvis en kortreist billett som deles ut når en klient ønsker å få tilgang til en tjeneste på en bestemt server. Øktbilletten inneholder klientdatamaskinens nettverksadresse, brukerinformasjonen og en varighet der billetten er gyldig. I noen Kerberos-implementasjoner, for eksempel Microsofts Active Directory®, kan en tredje type billett, kalt en henvisningsbillett, også brukes. Denne billettypen blir gitt når en klient ønsker å få tilgang til en server som er bosatt på et domene som er atskilt fra sitt eget.
Slik Kerberos-billettgodkjennelsessystemet fungerer er gjennom bruk av en egen server, kjent som nøkkeldistribusjonssenteret (KDC), som gir hele autentiseringsbillettsystemet. Denne maskinen har to underkomponenter som kjører, hvorav den første er kjent som autentiseringsserveren (AS). AS kjenner til alle de andre datamaskinene og brukerne i nettverket og fører en database med passordene deres. Når en bruker logger seg på nettverket, gir AS ham en TGT.
I det punktet hvor en bruker trenger tilgang til en server et sted i nettverket, bruker han TGT som er gitt tidligere og ber om en servicebillett fra den andre delen av KDC, kalt billettgivningsserveren (TGS). TGS sender en sesjonsbillett tilbake til brukeren, som deretter kan bruke den til å få tilgang til serveren han ba om. Når serveren mottar sesjonsbilletten, sender den en annen melding tilbake til brukeren som bekrefter identiteten og at brukeren får tilgang til den forespurte tjenesten. Når det gjelder en henvisningsbillett, kreves det et ekstra trinn der KDC for hjemmedomenet i stedet oppretter en henvisningsbillett som lar klienten be om øktbilletter fra et annet KDC på et annet nettverksdomen. Hele billettgenerasjons- og delingsprosessen er kryptert på hvert trinn for å beskytte mot en angriper som avlytter eller maskerer seg som bruker.
Den primære ulempen med autentiseringsbillettmetoden er den sentraliserte strukturen til alle autorisasjoner. Hvis en angriper klarer å få tilgang til KDC, får han i hovedsak tilgang til alle brukeridentiteter og passord, og kan deretter etterligne noen. Skulle KDC bli utilgjengelig, ville ingen kunne bruke nettverket. Et annet problem er de detaljerte livssyklusene til billettene, som krever at alle datamaskinene i nettverket har klokkene sine synkronisert.