Kerberos is een authenticatie protocol -service die wordt gebruikt om netwerkbronnen te beschermen tegen ongeoorloofde toegang op Microsoft client /server-gebaseerde netwerken , zoals die met Microsoft Windows server 2003 . Kerberos beschermt bronnen , zoals bestanden en databases zijn opgeslagen op netwerkservers door ervoor te zorgen dat alleen klanten die met succes hebben aangemeld op het netwerk kan toegang krijgen tot deze diensten . Kerberos biedt toegang resource alleen aan cliënten met een netwerk van gebruikers en computers accountdatabase vermeld accounts , zoals Active Directory , gebruikt door Windows server 2003 . Aanvraag voor een Ticket Granting Ticket Een client computer in een netwerk , zoals een desktop computer met Windows XP of Windows 7 , kan het nodig zijn om toegang tot een bron , zoals een bestand , opgeslagen op een netwerk data-opslag -server . De klant stuurt een digitale aanvraag naar de server dat het geverifieerd op het netwerk tijdens het aanmelden . Het verzoek vraagt de authenticatie -server om referenties van de cliënt controleren in de Active Directory en een van de certificaten de klant zal moeten presenteren aan de toegang tot de netwerkbronnen vragen te creëren . De Active Directory-server creëert een versleutelde digitale certificaat , met een sessie -sleutel ( SK ) , en een Ticket Granting Ticket ( TGT ) , die stuurt terug naar de client computer . Ticket Verlenen Server < br > de client decodeert de Session Key andt creëert een digitaal authenticatiemiddel om een ticket verlenen server te sturen . De verificator bevat de naam van de klant , en de Internet Protocol ( IP ) -adres , plus een tijdstempel . De Ticket Granting Server is een netwerk- server waarop de Kerberos veiligheidsdienst . Op een Windows - gebaseerde client /server -netwerk , is dit meestal de server waarop de Active Directory- authenticatie service. De klant stuurt de verificator het is gemaakt , samen met de TGT het ontvangen van de Active Directory-server , om het Ticket verlenen Server . De Ticket Granting Server gebruikt het authenticatiemiddel en de TGT om een nieuw SK creëren . Het creëert ook een digitaal certificaat bekend als een Target Server Ticket , met referenties die de cliënt nodig heeft om toegang tot het bestand opgeslagen op de doelserver . De nieuwe Target Server Ticket bevat de naam van de klant en het IP-adres en een Target Server Ticket vervaltijd , plus beveiligingssleutel het doelwit server en de naam van de doelserver . De nieuwe SK en de Target Server Ticket zijn gecodeerd en teruggestuurd naar de client . Target Server Authentication De klant stuurt de nieuwe SK en de Target server Ticket to de server waarop het bestand dat de klant wil openen . De doel server accepteert het verzoek omdat het verzoek bevat de doelserver beveiligingssleutel . De doel server decodeert de Target Server Ticket en controleert de SK client-authenticatie informatie , de client-IP -adres en de tijdstempel . Omdat de meeste netwerktoegang verzoeken vereisen twee - weg communicatie tussen de client en de server hosting middelen , het doel server gebruikt de SK om een bericht te genereren , inclusief de tijd stempel , met een verhoogd , en maakt gebruik van encryptie sleutel van de SK om dit bericht te versleutelen , die stuurt terug naar de client om te bewijzen dat het de server die de klant wil communiceren. Resource Access de doelserver is nu overtuigd dat de client- server heeft het recht om een communicatie- sessie tot stand , en de klant tevreden is dat de doelserver is de juiste server , als de doelserver erkende de gecodeerde digitale beveiligingssleutel dat de klant gepresenteerd. Client en server beide delen van de SK om een communicatie- sessie tot stand . Dit betekent niet dat de klant toegang tot het bestand opgeslagen op de doelserver . Kerberos maakt veilige communicatie alleen tussen computers . Bestanden zijn beschermd door hun eigen individuele resource toegangsrechten .
|