Kerberos es un servicio de protocolo de autenticación que se utiliza para proteger los recursos de la red de accesos no autorizados en redes Microsoft cliente /servidor basada , como las que utiliza el servidor Microsoft Windows 2003. Kerberos protege los recursos , como archivos y bases de datos almacenados en los servidores de la red , garantizando que sólo los clientes que se han conectado con éxito en la red pueden acceder a estos servicios. Kerberos permite el acceso de recursos sólo para clientes con cuentas que aparecen en un usuario de la red y base de datos de cuenta de equipo , como Active Directory , que se utiliza por el servidor Windows 2003. Solicitud de concesión de vales de entradas
Un equipo cliente en una red , como una computadora de escritorio con Windows XP o Windows 7 , es posible que para acceder a un recurso, como un archivo almacenado en una red servidor de almacenamiento de datos. El cliente envía una solicitud digital para el servidor que autentica en la red durante el inicio de sesión. La solicitud pide el servidor de autenticación para comprobar las credenciales del cliente en Active Directory y crear un los certificados que necesitará el cliente para presentar al solicitar el acceso a los recursos de red. El servidor de Active Directory crea un certificado de cifrado digital, que contiene una clave de sesión ( SK ), y un vale de concesión de vales (TGT ), que se envía a la computadora cliente.
Vale de concesión de Servidor < br >
el cliente descifra la clave de sesión andt crea un autenticador digital para enviar a un vale de concesión Server. El autenticador contiene el nombre del cliente , y su Protocolo de Internet (IP) , además de un sello de tiempo . El vale de concesión Server es un servidor de red que aloja el servicio de seguridad Kerberos. En una red cliente /servidor basado en Windows , este suele ser el servidor que aloja el servicio de autenticación de Active Directory.
El cliente envía al autenticador que ha creado, junto con el TGT que recibió del servidor de Active Directory, para el vale de concesión Server. El vale de concesión Server utiliza el autenticador y el TGT para crear una nueva SK . También crea un certificado digital conocido como Ticket Target Server, que contiene las credenciales que el cliente tendrá que acceder a los archivos almacenados en el servidor de destino. El nuevo billete de servidor de destino contiene el nombre del cliente y la dirección IP y un tiempo de caducidad de entradas de servidor de destino , además de la clave de seguridad del servidor de destino y el nombre del servidor de destino. El nuevo SK y el billete servidor de destino se cifran y se envía de vuelta al cliente .
Target Authentication Server
El cliente envía el nuevo SK y el objetivo Ticket Server en el servidor que aloja el fichero que el cliente quiere acceder . El servidor de destino acepta la solicitud debido a que la solicitud contiene la clave de seguridad del servidor de destino . El servidor de destino descifra el boleto Target Server y comprueba la información SK cliente de autenticación , la dirección IP del cliente y la marca de tiempo . Debido a que la mayoría de las solicitudes de acceso a la red requieren comunicación de dos vías entre el cliente y el servidor que aloja los recursos , el servidor de destino utiliza el SK para generar un mensaje , incluyendo la marca de tiempo , incrementa en uno , y utiliza la clave de cifrado del SK para cifrar este mensaje , que se envía de vuelta al cliente para demostrar que es el servidor que el cliente quiere comunicar.
Recursos Acceso
el servidor de destino está convencido de que el servidor de cliente tiene el derecho de establecer una sesión de comunicación , y el cliente está satisfecho de que el servidor de destino es el servidor correcto , ya que el servidor de destino reconoce la clave de seguridad digital de cifrado que el cliente presenta . Cliente y el servidor comparten la SK para establecer una sesión de comunicación .
Esto no significa que el cliente puede acceder a los archivos almacenados en el servidor de destino. Kerberos permite la comunicación segura sólo entre ordenadores . Los archivos están protegidos por sus propios permisos individuales de acceso a los recursos .