O que é um ticket de autenticação?
Um ticket de autenticação é um componente de segurança do Protocolo de Segurança da Rede Kerberos. Ele atua como uma espécie de token, uma pequena coleção de dados, passada entre um computador cliente e um servidor, para que os dois computadores possam provar a identidade entre si. Além dessa identificação de rede mútua, o ticket também detalha as permissões que o cliente possui para acessar o servidor e seus serviços, bem como um tempo alocado para a sessão.
Existem essencialmente dois tipos de ticket de autenticação. Um bilhete de concessão de ingressos (TGT), também chamado de ingresso para obter ingressos, é o ingresso principal emitido quando o computador cliente estabelece primeiro sua identidade. Esse tipo de ticket normalmente dura um longo período, mais de 10 ou mais horas, e pode ser renovado a qualquer momento durante o período em que o usuário está conectado à rede. Com um TGT, o usuário pode solicitar ingressos de autenticação individuais para acessar outros servidores na rede.
Um bilhete cliente a servidor, também referido como um ticket de sessão, é a segunda forma de ticket de autenticação. Normalmente, esse é um ticket de curta duração que é entregue quando um cliente deseja acessar um serviço em um servidor específico. O ticket de sessão contém o endereço de rede do computador cliente, as informações do usuário e uma duração em que o ticket é válido. Em algumas implementações do Kerberos, como o Microsoft's® Active Directory®, um terceiro tipo de ticket, chamado ticket de referência, também pode ser usado. Esse tipo de ingresso é concedido quando um cliente deseja acessar um servidor que reside em um domínio separado de seu próprio.
A maneira como o sistema de concessão de tickets Kerberos obtém o sistema é através do uso de um servidor separado, conhecido como Centro de Distribuição de Chaves (KDC), que fornece todo o sistema de tickets de autenticação. Esta máquina tem dois subcomponentes em execução, a primeira das quais é conhecida como autentservidor de gotas (AS). O Saiba sobre todos os outros computadores e usuários da rede e mantém um banco de dados de suas senhas. Quando um usuário faz login na rede, o AS concede -lhe um tgt.
No ponto em que um usuário precisa acessar um servidor em algum lugar da rede, ele usa o TGT fornecido anteriormente e solicita um ticket de serviço da segunda parte do KDC, chamado de ticket concessão de TGS (TGS). O TGS envia um ticket de sessão de volta ao usuário, que pode usá -lo para acessar o servidor que solicitou. Quando o servidor recebe o ticket de sessão, ele envia outra mensagem de volta ao usuário, verificando sua identidade e que o usuário pode acessar o serviço solicitado. No caso de um bilhete de referência, é necessária uma etapa extra quando o KDC do domínio residencial cria um ticket de referência que permite ao cliente solicitar ingressos de sessão de outro KDC em um domínio de rede diferente. Todo esse processo de geração e compartilhamento de ingressos é criptografado a cada passo depor muito tempo a maneira de proteger contra um atacante escutas ou disfarce como usuário.
A principal desvantagem do método do ticket de autenticação é a estrutura centralizada de todas as autorizações. Se um invasor conseguir ter acesso ao KDC, ele essencialmente ganha acesso a todas as identidades e senhas do usuário e pode se passar por qualquer pessoa. Além disso, se o KDC ficar indisponível, ninguém poderá usar a rede. Outra questão é os ciclos de vida detalhados dos ingressos, que exigem que todos os computadores da rede tenham seus relógios sincronizados.