O DNS sabe quais são os servidores Key Distribution Center (KDC) da rede, mantendo essa informação no registro Servive (SRV). Através de um DNS lookup, a estação tenta contatar no DNS qual é o KDC mais próximo ou disponível. O KDC é um serviço executado em toda máquina Windows 2000 Server configurada como Domain Controller. O KDC inclui dois serviços: o Authentication Service (AS) e o Ticket-Granting Service (TGS). No modelo de Kerberos são fornecidos Tickets de acesso a redes.
O Client contata o KDC, solicitando uma chave de sessão para ser usada na autenticação, durante a sessão de logon. Para poder fazer isso, ele envia uma mensagem do tipo KRB_AS_REQ, ou Kerberos Authentication Service Request. Dentro desta mensagem estão incluídos o UserID do usuário Bill, o serviço solicitado (ou TGS), e uma pré-autenticação de dados (PADATA ou Pré-Authentication Data), que prova que Bill conhece realmente a sua senha. Isto é uma informação adicionada ao dado, para indicar a hora em que foi feito, e encriptada com o Long-Term Key do usuário Bill.
O KDC recebe a requisição e consulta no Active Directory pelo usuário Bill. Dentro do Active Directory não são armazenados as senhas mas sim, suas representações. Com base nestas informações o KDC obtém o Long-term Key, desencripta o PADATA e faz a validação da identidade de Bill.
Após fazer a validação de Bill, o KDC cria uma chave de sessão, e encripta a cópia da chave do client com o seu Long-Term Key. A cópia do servidor da chave de sessão é encriptada no Long-Term Key. Ambas as chaves estão disponíveis na base de dados do KDC no Active Directory.
O KDC envia um TGT (Ticket Granting Ticket - tipo especial de ticket de sessão, que o KDC utiliza quando precisa se comunicar com o client), e a chave de sessão, ou Session Key, encriptada com a chave do client em uma mensagem do tipo KRB_AS_REP (Kerberos Authentication Service Reply). O TGT inclui uma cópia de ambas as chaves de sessão encriptadas, e informação sobre o client. O TGT é tambem encriptado com a chave do server. Um detalhe importante é que somente o client pode desencriptografar a cópia da chave de sessão, e somente o server pode desencriptografar o TGT, para ler seu conteúdo. O Server nao mantêm a cópia da chave de sessão.
O client recebe o TGT e a chave de sessão. Nesse momento, utiliza a sua cópia armazenada do Long-Term Key, e desencripta a cópia da chave de sessão. Essa chave agora passa a ser conhecida como a Logon Session Key. Esta chave e o TGT são armazenados em cache na memória pelo Local Security Authority (LSA) da máquina do client. Este armazenamento em memória pelo LSA é necessário, pois os dados armazenados por ele não vão para paginação. Isso evita que sejam guardados dados localmente e, em caso de Logoff ou desligamento da maquina, são perdidas as chaves e todo o processo se reinicia no próximo Logon. Este cache das credenciais é gerenciado pelo SSP (Kerberos Security Support Provider - um componente do protocolo Kerberos que habilita o LSA em um domínio, para se comunicar diretamente com o KDC em outro domínio).
Depois de ter sido pré-autenticado e recebido o TGT , o client está pronto para acessar recursos e serviços nos demais servidores. O processo de logon do Kerberos pode até parecer mais lento que o NTLM, mas sua principal vantagem é que, uma vez que o client está em posse destas chaves, não haverá mais a necessidade de contatar o DC para checar novamente suas credenciais. O Ticket recebido pelo DC tem validade de 10 horas. Após este horário, o SSP utiliza uma cópia armazenada pelo LSA do hash do password do usuário e, com ela, obtêm um novo TGT, sem perguntar ao usuário ou obrigando-o a fazer um novo logon.
Através deste processo verificamos que existe autenticação mútua, pois tanto o client quanto o server sabem que estão negociando com a máquina correta. Além do mais, a implementação do Kerberos no Windows 2000 permite a comunicação com demais sistemas operacionais, desde que implementem o Kerberos V5.
Acredito que esta matéria, apesar de ainda estar faltando mais detalhes, pois trata-se de um assunto bastante complexo, conseguirá tornar o entendimento do Kerberos muito mais simples.
|
|
são campos requeridos.
Mais seções