Schritte in Kerberos Verschlüsselung

December 8

Schritte in Kerberos Verschlüsselung

Kerberos ist ein Protokoll-Authentifizierungsdienst, der verwendet wird, um Netzwerkressourcen vor unbefugtem Zugriff auf Microsoft Client/Server-basierten Netzwerken, wie mithilfe von Microsoft Windows 2003 Server zu schützen. Kerberos schützt Ressourcen wie Dateien und Datenbanken auf Netzwerkservern gespeichert werden, indem sichergestellt wird, dass nur Clients, die erfolgreich mit dem Netzwerk angemeldet haben, auf diese Dienste zugreifen können. Kerberos ermöglicht Zugriff auf Ressourcen nur für Clients mit Konten aufgelistet, die in einem Netzwerk Benutzer- und Kontodatenbank, wie Active Directory, Windows 2003 Server verwendet.

Anfrage für ein Ticket Granting Ticket

Ein Client-Computer in einem Netzwerk, wie einen desktop-Computer mit Windows XP oder Windows 7, müssen möglicherweise Zugriff auf eine Ressource, z. B. eine Datei auf einem Netzwerkserver für Daten-Speicher gespeichert. Der Client sendet eine digitale-Anforderung an den Server, der sie während der Anmeldung auf das Netzwerk authentifiziert. Die Anfrage sagt den Authentifizierungs-Server überprüfen die Anmeldeinformationen des Clients im Active Directory und erstellen eine die Zertifikate des Clients auf Anforderung Zugriff auf Netzwerkressourcen zu präsentieren müssen. Der Active Directory-Server erstellt ein verschlüsseltes digitales Zertifikat mit einer Session Key (SK) und ein Ticket Gewährung Ticket (TGT), die es zurück an den Clientcomputer sendet.

Ticket Granting Server

Der Client entschlüsselt den Sitzungsschlüssel Andt erstellt eine digitale Authentifikator zu einem Ticket-Vergabe-Server senden. Der Authentifikator enthält den Clientnamen und ihre Internet Protokoll (IP)-Adresse, sowie einen Zeitstempel. Ticket-Vergabe-Server ist ein Netzwerk-Server hosten den Kerberos-Sicherheitsdienst. Auf einem Windows-basierten Client/Server-Netzwerk ist dies in der Regel der Server den Active Directory-Authentifizierung-Dienst hostet.

Der Client sendet den Authentifikator, die, den es erstellt hat, den zusammen mit der TGT erhielt sie vom Active Directory-Server, an den Ticket-Server gewähren. Der Ticket-Erteilung-Server verwendet dem Authentifikator und das TGT eine neue SK erstellen Er erstellt auch ein digitales Zertifikat, bekannt als ein Ziel-Server-Ticket mit Anmeldeinformationen, die der Client benötigen Zugriff auf die Datei, die auf dem Zielserver gespeichert. Das neue Ziel-Server-Ticket enthält den Clientnamen und IP-Adresse und eine Ablaufzeit Target Server Ticket plus Sicherheitsschlüssel des Zielservers und der Name des Zielservers. Die neuen SK und dem Ziel-Server-Ticket sind verschlüsselt und zurück an den Client gesendet.

Ziel-Server-Authentifizierung

Der Client sendet die neuen SK und dem Ziel-Server-Ticket an den Server Hosten der Datei, die der Client zugreifen möchte. Der Zielserver unterstützt die Anforderung, da die Anforderung des Zielservers Sicherheitsschlüssel enthält. Der Zielserver entschlüsselt das Target Server Ticket und überprüft die SK Client Authentifizierungsinformationen, die Client-IP-Adresse und den Zeitstempel. Weil die meisten Netzwerkzugriffsanforderungen bidirektionale Kommunikation zwischen dem Client benötigen und dem Server hosting-Ressourcen, der Zielserver der SK um eine Nachricht verwendet, einschließlich des Zeitstempels zu erzeugen erhöht, und verwendet die SK-Verschlüsselungsschlüssel, diese Nachricht zu verschlüsseln, die es zurück an den Client sendet, zu beweisen, dass sie den Server, dem der Client mit Exchange kommunizieren möchte.

Zugriff auf Ressourcen

Der Zielserver ist nun davon überzeugt, dass die Clientserver das Recht hat, eine Kommunikationssitzung und dem Kunden zu etablieren ist zufrieden, dass der Zielserver den richtigen Server ist, wie der Zielserver den verschlüsselten digitalen Sicherheitsschlüssel anerkannt, die der Client dargestellt. Sowohl Client als auch Server Teilen der SK um eine Kommunikationssitzung herzustellen.

Dies bedeutet nicht, dass der Client die Datei auf dem Zielserver zugreifen kann. Kerberos ermöglicht sicheren Kommunikation nur zwischen Computern. Dateien werden durch ihre eigenen individuellen Ressourcenzugriffsberechtigungen geschützt.