Autentificarea Kerberos

Centrul de distribuire a cheilor KDC

Baza de date a contului

Baza de date, care este solicitată de KDC pentru a prelua informații privind abonații de securitate, este stocată în directorul Active Directory. Fiecare abonat aici este reprezentat ca un cont. Cheile criptografice folosite pentru a comunica cu un utilizator, computer sau serviciu sunt stocate ca atribute ale obiectului de cont al unui anumit abonat de securitate.

Politica Kerberos

Politica Kerberos prevede:

Delegarea autentificării

După cum sa menționat deja, politica Kerberos pentru un domeniu poate permite autentificarea delegată utilizând metoda biletelor transmise, însă această permisiune nu se aplică neapărat tuturor utilizatorilor sau tuturor computerelor. Utilizând atributul contului unui anumit utilizator, administratorul poate interzice transferul identității sale de la un server la altul. În plus, puteți interzice transferul identității oricărui utilizator prin setarea atributului corespunzător în contul unui computer. Dacă este necesar, puteți bloca și delegarea autentificării la toți utilizatorii sau la toate computerele care fac parte din unitatea organizațională din cadrul domeniului.

Pre-autentificare

În mod prestabilit, serviciul KDC necesită pre-autentificarea tuturor conturilor, ceea ce complică foarte mult atacurile prin selectarea parolelor. Cu toate acestea, această funcție poate cauza probleme de compatibilitate cu alte implementări Kerberos, astfel încât este posibilă dezactivarea acesteia în conturi separate.

Furnizorul de asistență pentru securitatea Kerberos

După ce subsistemul LSA creează un context de securitate pentru utilizatorul interactiv, este posibil să aveți nevoie de o altă instanță a Kerberos SSP. Acesta este descărcat de un proces care rulează în contextul de securitate al utilizatorului pentru a oferi suport de semnătură și autentificare a mesajelor.

Cache-ul de identitate

Administrarea cache-ului de administrare este încredințată SSP-ului Kerberos, care operează în contextul securității subsistemului LSA. De fiecare dată când este nevoie să obțineți un bilet sau o cheie, sau în actualizarea lor, LSA se îndreaptă spre Kerberos SSP, care efectuează această sarcină.

Subsistemul LSA stochează, de asemenea, copii ale hashes-urilor pentru utilizatorii interactivi. Dacă biletul de utilizator TGT expiră în timpul sesiunii, Kerberos SSP utilizează această copie pentru a primi un nou bilet. Acest lucru se face în fundal, fără a opri sesiunea. Parola este stocată temporar, copia locală este distrusă după terminarea sesiunii utilizatorului.

Situația este diferită de cea a parolei pentru servicii și computere. Ca și în versiunile anterioare de Windows NT, acestea sunt stocate în zona de siguranță a registrului de sistem al computerului. Registrul este, de asemenea, utilizat pentru a stoca hash-uri de parole pentru conturile de utilizator de pe sistemul local, dar conturile locale sunt potrivite pentru accesul deosebit de la calculatoare care funcționează în mod independent, dar nu în rețea.

Rezoluția numelui DNS

Transport IP

UDP se referă la protocoalele de transport care nu stabilesc o conexiune logică, astfel încât utilizarea sa este justificată în cazurile în care organizația de conectare asigură schimbul preliminar de mesaje de serviciu. Acest protocol este bine adaptat și în cazul în care schimbul este limitat la o singură cerere și la un singur răspuns, așa cum este cazul sesiunilor de comunicare între client și serviciul KDC. Este important doar ca fiecare astfel de mesaj să se potrivească într-o singură datagramă. Dar cele mai bune rezultate folosind protocolul UDP sunt date în acele cazuri când datagramele sunt transmise ca un singur întreg, adică fiecare dintre ele se potrivește complet într-un singur cadru. Capacitatea cadrului depinde de mediul de transmisie. Într-un cadru Ethernet, de exemplu, dimensiunea maximă a blocului de date transmis (MTU) este de 1500 octeți. Prin urmare, în rețelele fizice Ethernet, mesajele Kerberos expediate ca datagramuri pot conține până la 1500 octeți de date.