kerberos - heimdal-- Copie
-
Upload
amira-hanin -
Category
Documents
-
view
55 -
download
2
Transcript of kerberos - heimdal-- Copie
Installation et configuration du serveur Kerberos
PlanRappels sur kerberos Gnralits Architecture Terminologie Notion de ticket Services kerberos Clefs cryptographiques Accs une ressource Gnration et composition d un ticket Conclusion2
Introduction :
Tous les rseaux sont peu scuriss. Pour garantir la scurit des informations circulant sur ces rseaux, il est ncessaire de crer un systme dauthentification efficace afin que seuls les utilisateurs autoriss puissent avoir accs certaines ressources.
3
Rappels sur KerberosActuellement, trois implmentations de Kerberos version 5 existent :MIT krb5 Heimdal shishi
MIT krb5 dvelopp initialement au MIT, dans le cadre du projet Athena au dbut des annes 80 Version courante : Kerberos V54
GnralitsPrincipesBas sur la notion de Ticket Cryptographie Clefs secrtes Authentification mutuelle Tickets limits dans le temps
Kerberos V5Amliorations par rapport V4 (tickets transfrables, des types de cryptage extensibles ) Standards : RFCs 1510 et 19645
ArchitectureL architecture de Kerberos constitue une architecture 3 tiers :un client un serveur proposant le service que l'utilisateur veut utiliser un serveur d'authentification.Le client reprsente la machine effectuant la requte d'authentification, en gnral, il s'agit d'un PC. Le serveur est un serveur applicatif, comme par exemple un serveur de messagerie ou bien un serveur de fichiers. Le serveur d'authentification est un serveur ddi, dtenant l'ensemble des cls de cryptage des clients et des serveurs du rseau.
6
Terminologie (1/2)Un principal Kerberos :est un client Kerberos, identifiable par un nom unique. Un utilisateur, un client, un serveur sont des principaux Kerberos
Une autorit approuve :stocke les informations de scurit relatives aux principaux gnre et gre les clefs de session7
Terminologie (2/2)Un royaume Kerberos :est une organisation logique dans laquelle s'excute au moins une AA, est capable d authentifier les principaux dclars sur ce serveur.
Un KDC (Key Distribution Center):est le nom donne dans Windows 2000 l autorit approuve.
8
Notion de ticketUn ticket est une structure de donnes constitue d une partie chiffre et d une partie claire. Les tickets servent authentifier les requtes des principaux Deux type de Tickets :Ticket Granting Ticket (TGT) Service Ticket (ST)9
Services KerberosDeux types de services sont requis :un service d authentification (AS ou Authentification Service) un service d obtention de tickets (TGS ou Ticket Granting Service)
Ces services ne tournent pas ncessairement sur le mme serveur
10
Clefs cryptographiquesDans Kerberos, une AA (ie un KDC) gnre et stocke les clefs secrtes (Ksec) des principaux qui lui sont rattachs. (Dans W2K, Ksec est directement drive du mot de passe de l utilisateur) Pour des raisons de scurit, ces clefs secrtes ne servent que lors de la phase initiale d authentification Dans toutes les autres phases, on utilise des clefs de session jetables 11
Accs une ressourceDescription des changes
Authentification initiale1 : Requte dauthentification
2 : Emission dun Ticket TGT
La requte initiale contient (en clair) l identit du requrant et le serveur pour lequel on demande un TGT. Le serveur met un TGT pour le client La partie chiffre est dcrypte avec la clef Ksec du client => seul le bon client peut dchiffrer cette partie13
Demande d un ST1 : Requte de ticket de service
2 : Emission dun Ticket ST
On utilise le TGT obtenu prcdemment pour requrir un ST Le serveur met un ST pour le client et pour le service considr
14
Accs au service1 : Requte de service
2 : Poursuite des changes
On utilise le ST obtenu prcdemment pour accder au service Le serveur de ressources valide alors (ou non) la requte
15
RsumAS Service3 Demande de ST 2 TGT
TGS Service
1 Connexion
4 ST
5 Demande d accs au service
6 Validation
Serveur de ressource
16
Gnration et composition d un ticketTraitement des changes
Accs en trois passesGnration du ticket par le serveur et transmission au client, Traitement du ticket par le client et prparation de la requte au serveur, Traitement de la requte par le serveur et poursuite des changes.
18
Gnration d un ticketChiffrement ChiffrementClef de session
Clef du serveur de ressource
TicketClef du client
Transmis au client
19
Traitement par le clientChiffrement Reu par Le client DchiffrementAuthentifiant Authentifiant
Clef du client
Transmis Au serveur De ressource
20
Traitement par le serveurDchiffrement Authentifiant Authentifiant
Reu par Le serveur De ressource Dchiffrement
OUI
Valide ?
NON
Clef du serveur de ressource
Accs
Refus
21
Structure d un Ticket KerberosChamp t tm m f y m m t t t tm t tt m tm w-t Descripti V (5) y m ' t t N m 'AA y t t t p ' t t t t C f p ' f t y m ' t N m t L t y m y tp p t ' t tf t H t ' t tf t I p t t t t I ' p t t t P t t b ; j ' tp t t t C t t0 t ' p t t t t b C mp t p pp t p p p f C
m
C ff
t
z t
-
t
22
Conclusions
Le protocole Kerberos est donc le systme d'authentification le plus efficace qui existe actuellement. Il assure l'authentification de toutes les entits du rseau de manire centralise et scurise, ce qui permet une facilit D administration et de gestion. Mais ce protocole tant universel et non rserv Microsoft, il est possible d'implmenter un tel systme d'authentification sur n'importe quel systme d'opration.
23
Bibliographieweb.mit.edu/Kerberos/ www.cryptnet.net/fdp/.../kerby-infra.html www.h5l.org/ www.freebsd.org/doc/fr/.../kerberosiv.html www.zeroshell.net/eng/kerberos/ www.kerberos.info/documentation.html
24