Co to jest bilet uwierzytelniający?

Bilet uwierzytelniający jest elementem bezpieczeństwa protokołu bezpieczeństwa sieci Kerberos. Działa jak token, niewielki zbiór danych, przekazywany między komputerem klienckim a serwerem, dzięki czemu dwa komputery mogłyby się nawzajem udowodnić. Oprócz tej wzajemnej identyfikacji sieci bilet szczegółowo opisuje również wszelkie uprawnienia, jakie klient ma do uzyskania dostępu do serwera i jego usług, a także czas przydzielony na sesję.

Istnieją zasadniczo dwa rodzaje biletu na uwierzytelnianie. Bilet na bilet na bilet (TGT), zwany również biletem na uzyskanie biletów, jest biletem podstawowym wydanym, gdy komputer klienta po raz pierwszy ustanawia swoją tożsamość. Ten rodzaj biletu zwykle trwa długi okres, ponad 10 lub więcej godzin, i można go odnawiać w dowolnym momencie w okresie, w którym użytkownik jest zalogowany do sieci. Dzięki TGT użytkownik może następnie poprosić o poszczególne bilety uwierzytelniające, aby uzyskać dostęp do innych serwerów w sieci.

Bilet z klientem do serwera, zwany również biletem sesji, jest drugą formą biletu na uwierzytelnianie. Jest to zazwyczaj krótkotrwały bilet, który jest przekazywany, gdy klient chce uzyskać dostęp do usługi na określonym serwerze. Bilet sesji zawiera adres sieciowy komputera klienta, informacje o użytkowniku i czas trwania, w którym bilet jest ważny. W niektórych implementacjach Kerberos, takich jak Microsoft's Active Directory®, można również użyć trzeciego rodzaju biletu, zwanego biletem polecającym. Ten typ biletu jest przyznawany, gdy klient chce uzyskać dostęp do serwera, który znajduje się w domenie oddzielnej od własnej.

Sposób, w jaki działa system przyznania biletów Kerberos, jest użycie osobnego serwera, znanego jako kluczowe centrum dystrybucji (KDC), który zapewnia cały system biletów uwierzytelniania. Ta maszyna ma dwa podgajniki, z których pierwszy jest znany jako AuthentSerwer Ication (AS). AS wie o wszystkich innych komputerach i użytkownikach w sieci i prowadzi bazę danych swoich haseł. Kiedy użytkownik loguje się do sieci, jak daje mu tgt.

W punkcie, w którym użytkownik musi uzyskać dostęp do serwera gdzieś w sieci, używa wcześniej podanego TGT i żąda biletu serwisowego z drugiej części KDC, zwanej serwerem udzielania biletów (TGS). TGS wysyła bilet sesji z powrotem do użytkownika, który może użyć go do uzyskania dostępu do żądanego serwera. Gdy serwer odbiera bilet sesji, wysyła kolejną wiadomość z powrotem do użytkownika weryfikującą jego tożsamość i że użytkownik może uzyskać dostęp do żądanej usługi. W przypadku biletu na polecenie wymagany jest dodatkowy etap, w którym KDC domeny domowej tworzy bilet na polecenie, który pozwala klientowi żądać biletów sesji z innej KDC w innej domenie sieci. Cały proces generowania biletów i udostępniania jest szyfrowany na każdym kroku ADaleko ochrony przed atakującym podgapieniem lub udawaniem jako użytkownik.

Podstawową wadą metody biletu uwierzytelniania jest scentralizowana struktura wszystkich zezwoleń. Jeśli atakującemu udaje się uzyskać dostęp do KDC, zasadniczo uzyskuje dostęp do wszystkich tożsamości i haseł użytkownika, a następnie może podszywać się pod każdym. Ponadto, jeśli KDC stanie się niedostępny, nikt nie byłby w stanie korzystać z sieci. Innym problemem są szczegółowe cykle życia biletów, które wymagają, aby wszystkie komputery w sieci miały zsynchronizowane zegar.