Vad är en verifieringsbiljett?
En autentiseringsbiljett är en säkerhetskomponent i Kerberos nätverkssäkerhetsprotokoll. Det fungerar som något av ett symbol, en liten datainsamling som skickas mellan en klientdator och en server, så att de två datorerna kan bevisa identitet till varandra. Utöver denna ömsesidiga nätverksidentifiering, beskriver biljetten också vilka behörigheter klienten har för åtkomst till servern och dess tjänster, samt en tilldelad tid för sessionen.
Det finns i huvudsak två typer av autentiseringsbiljetter. En biljett som beviljar biljett (TGT), även kallad en biljett för att få biljetter, är den primära biljetten som utfärdas när klientdatorn först fastställer sin identitet. Denna typ av biljett varar vanligtvis under en lång period, upp till 10 timmar eller mer, och kan förnyas när som helst under den period då användaren är inloggad i nätverket. Med en TGT kan användaren sedan begära enskilda autentiseringsbiljetter för att få åtkomst till andra servrar i nätverket.
En klient-till-server-biljett, även kallad en sessionbiljett, är den andra formen för autentiseringsbiljett. Detta är vanligtvis en kortlivad biljett som delas ut när en klient vill komma åt en tjänst på en viss server. Sessionsbiljetten innehåller klientdatorns nätverksadress, användarinformationen och en varaktighet där biljetten är giltig. I vissa Kerberos-implementationer, till exempel Microsofts Active Directory®, kan en tredje typ av biljett, kallad en remissbiljett, också användas. Denna biljettyp beviljas när en klient vill komma åt en server som är bosatt på en domän som är separat från sin egen.
Det sätt som Kerberos-biljettgivningssystemet fungerar är genom användning av en separat server, känd som nyckeldistributionscentret (KDC), som tillhandahåller hela autentiseringsbiljett-systemet. Den här maskinen har två underkomponenter som körs, varav den första kallas autentiseringsservern (AS). AS vet om alla andra datorer och användare i nätverket och har en databas över deras lösenord. När en användare loggar in på nätverket, ger AS honom en TGT.
Vid den tidpunkt då en användare behöver komma åt en server någonstans i nätverket, använder han TGT som har givits tidigare och begär en servicebiljett från den andra delen av KDC, kallad servern för tilldelning av biljetter (TGS). TGS skickar en sessionbiljett tillbaka till användaren, som sedan kan använda den för att komma åt servern han begärde. När servern tar emot sessionbiljetten skickar den ett nytt meddelande till användaren som verifierar dess identitet och att användaren har rätt att få åtkomst till den begärda tjänsten. När det gäller en remissbiljett krävs ett extra steg där KDC för hemdomänen istället skapar en remissbiljett som gör att klienten kan begära sessionbiljetter från en annan KDC på en annan nätverksdomän. Hela biljettgenerations- och delningsprocessen är krypterad i varje steg på vägen för att skydda mot en angripare som avlyssnar eller maskeras som en användare.
Den primära nackdelen med autentiseringsbiljettmetoden är den centraliserade strukturen för alla behörigheter. Om en angripare lyckas få tillgång till KDC, får han i huvudsak åtkomst till alla användaridentiteter och lösenord och kan sedan efterge sig någon. Om KDC inte skulle vara tillgängligt skulle ingen kunna använda nätverket. En annan fråga är de detaljerade livscyklerna för biljetterna, som kräver att alla datorer i nätverket har sina klockor synkroniserade.