O que é um tíquete de autenticação?

Um tíquete de autenticação é um componente de segurança do protocolo de segurança de rede Kerberos. Ele atua como uma espécie de token, uma pequena coleção de dados transmitidos entre um computador cliente e um servidor, para que os dois computadores possam provar a identidade um do outro. Além dessa identificação mútua de rede, o ticket também detalha as permissões que o cliente tem para acessar o servidor e seus serviços, bem como o tempo alocado para a sessão.

Existem essencialmente dois tipos de tíquete de autenticação. Um ticket de concessão de ticket (TGT), também conhecido como ticket para obter tickets, é o ticket primário emitido quando o computador cliente primeiro estabelece sua identidade. Esse tipo de ticket normalmente dura por um longo período, superior a 10 horas ou mais, e pode ser renovado a qualquer momento durante o período em que o usuário está conectado à rede. Com um TGT, o usuário pode solicitar tickets de autenticação individuais para acessar outros servidores na rede.

Um ticket de cliente para servidor, também conhecido como ticket de sessão, é a segunda forma de ticket de autenticação. Geralmente, é um ticket de curta duração que é entregue quando um cliente deseja acessar um serviço em um servidor específico. O ticket da sessão contém o endereço de rede do computador cliente, as informações do usuário e a duração em que o ticket é válido. Em algumas implementações do Kerberos, como o Microsoft® Active Directory®, um terceiro tipo de ticket, chamado ticket de referência, também pode ser usado. Esse tipo de ticket é concedido quando um cliente deseja acessar um servidor que reside em um domínio separado do seu.

A maneira como o sistema de concessão de tíquetes Kerberos funciona é através do uso de um servidor separado, conhecido como centro de distribuição de chaves (KDC), que fornece todo o sistema de tíquetes de autenticação. Esta máquina possui dois subcomponentes em execução, o primeiro dos quais é conhecido como servidor de autenticação (AS). O AS conhece todos os outros computadores e usuários da rede e mantém um banco de dados de suas senhas. Quando um usuário faz logon na rede, o AS concede a ele um TGT.

No momento em que um usuário precisa acessar um servidor em algum lugar da rede, ele usa o TGT fornecido anteriormente e solicita um ticket de serviço da segunda parte do KDC, chamado servidor de concessão de ticket (TGS). O TGS envia um tíquete de sessão de volta ao usuário, que pode usá-lo para acessar o servidor solicitado. Quando o servidor recebe o tíquete da sessão, ele envia outra mensagem de volta ao usuário, verificando sua identidade e se o usuário tem permissão para acessar o serviço solicitado. No caso de um ticket de referência, é necessária uma etapa extra onde o KDC do domínio inicial cria um ticket de referência que permite ao cliente solicitar tickets de sessão de outro KDC em um domínio de rede diferente. Todo esse processo de geração e compartilhamento de tickets é criptografado a cada passo do caminho para se proteger contra um invasor que escuta ou se disfarça como usuário.

A principal desvantagem do método do tíquete de autenticação é a estrutura centralizada de todas as autorizações. Se um invasor conseguir acessar o KDC, ele basicamente obtém acesso a todas as identidades e senhas de usuários e pode se passar por alguém. Além disso, se o KDC ficar indisponível, ninguém poderá usar a rede. Outra questão são os ciclos de vida detalhados dos tickets, que exigem que todos os computadores da rede tenham seus relógios sincronizados.

OUTRAS LÍNGUAS

Este artigo foi útil? Obrigado pelo feedback Obrigado pelo feedback

Como podemos ajudar? Como podemos ajudar?