Condividi tramite

Scambio del servizio di autenticazione

  • Articolo

L'utente inizia ad accedere alla rete digitando un nome di accesso e una password. Il client Kerberos nella workstation dell'utente converte la password in una chiave di crittografia e salva il risultato in una variabile di programma.

Il client richiede quindi le credenziali per il servizio di concessione ticket (TGS) del Centro distribuzione chiavi (KDC) inviando al servizio di autenticazione KDC un messaggio di tipo KRB_AS_REQ (richiesta del servizio di autenticazione Kerberos). La prima parte di questo messaggio identifica l'utente e il servizio TGS richiesto. La seconda parte di questo messaggio contiene dati di preautenticazione destinati a dimostrare che l'utente conosce la password. Si tratta semplicemente di un messaggio di autenticazione crittografato con la chiave master derivata dalla password di accesso dell'utente.

Quando il KDC riceve KRB_AS_REQ, cerca l'utente nel database, ottiene la chiave master dell'utente associato, decrittografa i dati di preautenticazione e valuta il timestamp all'interno. Se il timestamp è valido, il KDC può essere certo che i dati di preautenticazione siano stati crittografati con la chiave master dell'utente e quindi che il client sia autentico.

Dopo che il KDC ha verificato l'identità dell'utente, crea le credenziali che il client può presentare al TGS, come indicato di seguito:

  1. Il KDC inventa una chiave di sessione di accesso e crittografa una copia con la chiave master dell'utente.
  2. KDC incorpora un'altra copia della chiave di sessione di accesso e i dati di autorizzazione dell'utente in un ticket di concessione ticket (TGT) e crittografa il TGT con la chiave master del KDC.
  3. Il KDC invia queste credenziali al client rispondendo con un messaggio di tipo KRB_AS_REP (Risposta al servizio di autenticazione Kerberos).
  4. Quando il client riceve la risposta, usa la chiave derivata dalla password dell'utente per decrittografare la nuova chiave di sessione di accesso.
  5. Il client archivia la nuova chiave nella cache dei ticket.
  6. Il client estrae il TGT dal messaggio e lo archivia anche nella cache dei ticket.