Vad är en autentiseringsbiljett?
En autentiseringsbiljett är en säkerhetskomponent i Kerberos Network Security Protocol. Det fungerar som något av ett symbol, en liten insamling av data, som passerar mellan en klientdator och en server, så att de två datorerna kan bevisa identitet för varandra. Utöver denna ömsesidiga nätverksidentifiering beskriver biljetten också vad som tillåtet klienten har för att komma åt servern och dess tjänster, liksom en tid tilldelad för sessionen.
Det finns i huvudsak två typer av autentiseringsbiljett. En biljettbidragsbiljett (TGT), även kallad en biljett för att få biljetter, är den primära biljetten som utfärdas när klientdatorn först fastställer sin identitet. Denna typ av biljett varar vanligtvis under en lång period, upp till 10 eller fler timmar, och kan förnyas när som helst under den period där användaren är inloggad på nätverket. Med en TGT kan användaren sedan begära enskilda autentiseringsbiljetter för att komma åt andra servrar i nätverket.
En kund-till-server-biljett, även kallad en sessionbiljett, är den andra formen av autentiseringsbiljett. Detta är vanligtvis en kortlivad biljett som delas ut när en klient vill komma åt en tjänst på en viss server. Sessionbiljetten innehåller klientdatorns nätverksadress, användarinformation och en varaktighet där biljetten är giltig. I vissa Kerberos -implementeringar, såsom Microsofts® Active Directory®, kan en tredje typ av biljett, kallad en remissbiljett, också användas. Denna biljetttyp beviljas när en klient vill komma åt en server som finns på en domän som är separat från sin egen.
Det sätt som Kerberos -biljettbidragssystemet fungerar är genom användning av en separat server, känd som Key Distribution Center (KDC), som tillhandahåller hela autentiseringsbiljettsystemet. Den här maskinen har två underkomponenter som körs, varav den första är känd som autentIcation Server (AS). AS vet om alla andra datorer och användare i nätverket och håller en databas med sina lösenord. När en användare loggar på nätverket ger AS As As A TGT.
Vid den punkt där en användare behöver komma åt en server någonstans i nätverket använder han TGT som ges tidigare och begär en servicebiljett från den andra delen av KDC, som kallas biljettbidragsservern (TGS). TGS skickar en sessionbiljett tillbaka till användaren, som sedan kan använda den för att komma åt servern som han begärde. När servern tar emot sessionbiljetten skickar den ett nytt meddelande tillbaka till användaren som verifierar sin identitet och att användaren får komma åt den begärda tjänsten. När det gäller en remissbiljett krävs ett extra steg där KDC för hemdomänen istället skapar en remissbiljett som gör det möjligt för klienten att begära sessionbiljetter från en annan KDC på en annan nätverksdomän. Hela denna biljettproduktion och delningsprocess är krypterad vid varje steg aLångt sätt att skydda mot en angripare som avlyssnar eller maskeras som användare.
Den primära nackdelen med autentiseringsbiljettmetoden är den centraliserade strukturen för alla godkännanden. Om en angripare lyckas få tillgång till KDC får han i huvudsak tillgång till alla användaridentiteter och lösenord och kan sedan efterge sig någon. Om KDC skulle bli otillgänglig skulle ingen kunna använda nätverket. En annan fråga är de detaljerade livscyklerna för biljetterna, som kräver att alla datorer i nätverket har sina klockor synkroniserade.