Как работает Kerberos в современных операционных системах?

Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. ru.wikipedia.org Он интегрирован во все популярные операционные системы и часто используется для поддержки единого входа в крупных корпоративных сетях. www.keepersecurity.com

Упрощённое описание работы протокола Kerberos: www.keepersecurity.com

1. Клиент запрашивает билет аутентификации или билет на выдачу билетов (TGT) с сервера аутентификации KDC. www.keepersecurity.com Поскольку первоначальный запрос не содержит конфиденциальной информации, он отправляется в виде простого текста. www.keepersecurity.com
2. KDC ищет клиента в своей базе данных. www.keepersecurity.com Если KDC находит клиента, он возвращает зашифрованный TGT и ключ сеанса. www.keepersecurity.com В противном случае процесс останавливается, и клиенту отказывается в доступе. www.keepersecurity.com
3. После аутентификации клиент использует TGT для запроса билета на доступ к службам у службы выдачи билетов (TGS). www.keepersecurity.com Если TGS может аутентифицировать клиента, она отправляет клиенту учётные данные и билет для доступа к запрошенной службе. www.keepersecurity.com Этот билет хранится на устройстве конечного пользователя. www.keepersecurity.com
4. Клиент использует свой билет для запроса доступа к серверу приложений. www.keepersecurity.com Как только сервер приложений аутентифицирует запрос, клиент может получить доступ к серверу. www.keepersecurity.com

Некоторые особенности работы Kerberos:

• Использование временных меток и случайных значений. moluch.ru Это позволяет эффективно противодействовать атакам повторного воспроизведения и обеспечивать актуальность сессий. moluch.ru
• Применение алгоритма AES. moluch.ru Современные реализации протокола преимущественно используют этот алгоритм, который сочетает высокий уровень криптографической устойчивости с приемлемой вычислительной эффективностью. moluch.ru
• Использование распределённой модели KDC. moluch.ru Несколько серверов совместно выполняют функции одного логического центра, что позволяет реализовать балансировку нагрузки и повысить надёжность системы. moluch.ru