Troca de serviços de autenticação
O usuário começa a fazer logon na rede digitando um nome de logon e uma senha. O cliente Kerberos na estação de trabalho do usuário converte a senha em uma chave de criptografia e salva o resultado em uma variável de programa.
Em seguida, o cliente solicita credenciais para o TGS (serviço de concessão de tíquetes) do KDC ( Centro de Distribuição de Chaves ) enviando ao serviço de autenticação do KDC uma mensagem do tipo KRB_AS_REQ (Solicitação de Serviço de Autenticação Kerberos). A primeira parte dessa mensagem identifica o usuário e o serviço TGS que está sendo solicitado. A segunda parte dessa mensagem contém dados de pré-autenticação destinados a provar que o usuário sabe a senha. Essa é simplesmente uma mensagem de autenticador criptografada com a chave master derivada da senha de logon do usuário.
Quando o KDC recebe KRB_AS_REQ, ele pesquisa o usuário em seu banco de dados, obtém a chave master do usuário associado, descriptografa os dados de pré-autenticação e avalia o carimbo de data/hora dentro. Se o carimbo de data/hora for válido, o KDC poderá ter certeza de que os dados de pré-autenticação foram criptografados com a chave master do usuário e, portanto, que o cliente é original.
Depois que o KDC tiver verificado a identidade do usuário, ele criará credenciais que o cliente pode apresentar ao TGS, da seguinte maneira:
- O KDC inventa uma chave de sessão de logon e criptografa uma cópia com a chave master do usuário.
- O KDC inscreve outra cópia da chave de sessão de logon e os dados de autorização do usuário em um TGT (tíquete de concessão de tíquete) e criptografa o TGT com a própria chave de master do KDC.
- O KDC envia essas credenciais de volta ao cliente respondendo com uma mensagem do tipo KRB_AS_REP (Resposta do Serviço de Autenticação Kerberos).
- Quando o cliente recebe a resposta, ele usa a chave derivada da senha do usuário para descriptografar a nova chave de sessão de logon.
- O cliente armazena a nova chave em seu cache de tíquetes.
- O cliente extrai o TGT da mensagem e armazena isso em seu cache de tíquetes também.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de