Professional Documents
Culture Documents
Gnralits
Principes
Bas sur la notion de Ticket Cryptographie Clefs secrtes Authentification mutuelle Tickets limits dans le temps Mcanismes anti-rejeux
Kerberos V5
Amliorations par rapport V4 (tickets transferrables, time stamps) Standards IETF : RFCs 1510 et 1964
Architecture
Larchitecture de Kerberos constitue une architecture 3 tiers :
un client un serveur de ressources une autorit approuve
Lautorit approuve :
est un serveur dit de confiance , reconnu comme tel par le client et le serveur et dont on prsuppose quil est parfaitement scuris
Terminologie (1/2)
Un principal Kerberos :
est un client Kerberos, identifiable par un nom unique. Un utilisateur, un client, un serveur sont des principaux Kerberos
Terminologie (2/2)
Un royaume Kerberos :
est une organisation logique dans laquelle s'excute au moins une AA, est capable dauthentifier les principaux dclars sur ce serveur.
Notion de ticket
Un ticket est une structure de donnes constitue dune partie chiffre et dune partie claire. Les tickets servent authentifier les requtes des principaux Deux type de Tickets :
Ticket Granting Ticket (TGT) Service Ticket (ST)
7
Services Kerberos
Deux types de services sont requis :
un service dauthentification (AS ou Authentication Service) un service doctroi de tickets (TGS ou Ticket Granting Service)
Clefs cryptographiques
Dans Kerberos, une AA (ie un KDC) gnre et stocke les clefs secrtes (Ksec) des principaux qui lui sont rattachs. (Dans W2K, Ksec est directement drive du mot de passe de lutilisateur) Pour des raisons de scurit, ces clefs secrtes ne servent que lors de la phase initiale dauthentification Dans toutes les autres phases, on utilise des clefs de session jetables
9
Authentification initiale
1 : Requte dauthentification
La requte initiale contient (en clair) lidentit du requrant et le serveur pour lequel on demande un TGT. Le serveur met un TGT pour le client La partie chiffre lest avec la clef Ksec du client => seul le bon client peut dchiffrer cette partie
11
Demande dun ST
1 : Requte de ticket de service
On utilise le TGT obtenu prcdemment pour requrir un ST Le serveur met un ST pour le client et pour le service considr
12
Accs au service
1 : Requte de service
On utilise le ST obtenu prcdemment pour accder au service Le serveur de ressources valide alors (ou non) la requte
13
Rsum
AS Service
3 Demande de ST 2 TGT
TGS Service
1
Connexion
4 ST
6 Validation
Serveur de ressource
14
16
Ticket
Clef du client
Transmis au client
17
Authentifiant
Clef du client
18
Dchiffrement
OUI
Valide ?
NON
Accs
Refus
19
Chiffr
20
Principe
Quand un utilisateur dun royaume A souhaite atteindre un serveur dun royaume B :
il contacte sa propre AA, qui lui transmet un Refferal Ticket (TGT chiffr avec une clef partage inter-royaume) qui servira obtenir auprs de lAA de B un ST pour le serveur souhait.
23
Schma de principe
1 : demande daccs 4 : renvoi dun ticket pour le serveur
5 : demande daccs
6 : accs autoris Clef partage
AA
AA
2 1
3 4
5 Client Royaume A 6
Serveur 24 Royaume B
Contraintes
Sil existe plusieurs royaumes Kerberos, la distribution des clefs suit une complexit exponentielle ! Solution retenue :
une structure hirarchique des royaumes, autorisant laccs aux ressources par rebonds successifs
25
Structure hirarchique
Chaque lien entre royaumes indique le partage dune clef inter-royaume. Lobtention dun ticket se fait de proche en proche.
26
30
Serveur 1 1 : Connexion au domaine 2 : Emission dun TGT avec le flag utilisable en proxy activ 3 : Demande de ticket proxy pour le serveur2, via le serveur1 4 : Emission du ticket proxy
3 1 2
32
Serveur 1 4 : Renvoi dun TGT transfrable pour Serveur1 3 1 2 4 6 7 5 : Emission du TGT transfrable 6 : Demande d un ST pour Serveur2 7 : Envoi du ST 8 : Utilisation du ST pour lemprunt didentit du client
1 : Connexion au domaine 2 : Emission dun TGT 3 : Demande de ticket transfrable pour le serveur1
33
Mode transfert
Avantages - de requtes rseau si plusieurs ressources atteindre transparent (inutile de connatre le serveur atteint) Inconvnients + de requtes rseau si une seule ressource est atteinte moins scurisant : le TGT est une vraie dlgation de pouvoir ncessit de faire confiance dans le serveur
34
Mode proxy
Avantages - de requtes rseau si une seule ressource est atteinte plus scurisant : le ST nest valable QUE pour la ressource considre Inconvnients + de requtes rseau si plusieurs ressources atteindre non transparent (ncessite de connatre le serveur atteint)
35
Essai de morphing...
AA Royaume Royaume Clefs partages inter-royaume
AA
AA Royaume
AA
AA
Royaume
AA Royaume
AA Royaume 37
Essai de morphing...
KDC Domaine Domaine Relation d approbation
KDC
KDC Domaine
KDC
KDC
Domaine
KDC Domaine
KDC Domaine 38
Conclusions
Larchitecture en domaines de Windows 2000 nest quun coup de peinture appliqu sur larchitecture Kerberos Elle dcoule donc directement des travaux du MIT
39