Kerberos est différent des autres méthodes d'authentification basées sur la combinaison nom d'tuilisateur/mot de passe dans le sens où, plutôt que d'authentifier chaque utilisateur à chaque service réseau, il utilise un cryptage symétrique et un programme externe digne de confiance.— connu sous le nom de Centre de distribution de tickets (KDC de l'anglais Key Distribution Center) — afin d'authentifier les utilisateurs sur un ensemble de servicesréseau. Une fois l'authentification auprés du KDC effectuée, Kerberos renvoie à l'ordinateur de l'utilisateur un ticket spécifique à cette session en question de sorte que tout service kerberisé puisse rechercher le ticket sur l'ordinateur de l'utilisateur plutôt que de demander à l'utilisateur de s'authentifier sur à l'aide d'un mot de passe.
Lorsqu'un utilisateur faisant partie d'un réseau "kerberisé" se connecte sur son poste de travail, son principal est envoyé au KDC dans une demande de ticket d'émission de ticket ouTGT (de l'anglaisTicket-granting Ticket) à partir du serveur d'authentification ou AS (de l'anglais Authentication Server) Cette demande peut être émise par le programme de connexion afin qu'elle soit transparente pour l'utilisateur ou elle peut être émise par le programme kinit une fois l'utilisateur connecté.
Le KDC vérifie la présence du principal dans sa base de données. Si le principal y figure, le KDC crée un TGT, le crypte à l'aide de la clé de l'utilisateur, puis le renvoie à ce dernier.
Le programme de connexion ou le progamme kinit présent sur l'ordinateur client décrypte ensuite le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). La clé de l'utilisateur est utilisée seulement sur l'ordinateur client et n'est pas envoyée sur le réseau.
Le TGT, établi pour expirer après un certain laps de temps (généralement dix heures), est stocké dans le cache de certificats d'identité de l'ordinateur client. Un délai d'expiration est défini de manière à ce qu'un TGT compromis ne puisse être utilisé par un pirate que pendant une courte durée. Une fois que le TGT est émis, l'utilisateur n'a pas à redonner son mot de passe au KDC tant que le TGT n'a pas expiré ou tant qu'il ne se déconnecte pas pour se reconnecter ensuite.
Chaque fois que l'utilisateur doit accéder à un service réseau, le logiciel client utilise le TGT pour demander au serveru d'émission de ticlets (TGS) un nouveau ticket pour ce service spécifique. Le ticket pour le service souhaité est alors émis et utilisé pour authentifier l'utilisateur auprès de ce service de façon transparente.
![]() | Avertissement |
---|---|
Le système Kerberos peut être compromis à chaque fois qu'un utilisateur présent sur le réseau s'authentifie auprès d'un service non-kerberisé en envoyant un mot de passe en texte en clair. Pour cette raison, l'utilisation d'un service non-kerberisé est fortement déconseillée. Parmi de cesservices figurent Telnet et FTP. L'utilisation d'autres protocoles cryptés tels que les services sécurisés OpenSSH ou SSL est certes acceptable, mais toujourspas idéale. |
Ceci n'est bien sûr qu'un aperçu général du fonctionnement typique de l'authentification avec Kerberos sur un réseau. Pour obtenir de plus amples informations sur ce sujet, reportez-vous à la Section 18.7.
![]() | Remarque |
---|---|
Le bon fonctionnement de Kerberos dépend de certains services réseau. Il a tout d'abord besoin d'une synchronisation approximative de l'horloge entre les différents ordinateurs du réseau. Par conséquent, un programme de synchronisation de l'horloge devrait être installé pour le réseau, comme par exemple, ntpd. Pour de plus amples informations sur la configuration de ntpd, consultez /usr/share/doc/ntp-<version-number>/index.htm et examinez les renseignements concernant la configuration des serveurs'Network Time Protocol' (remplacez <version-number> par le numéro de version du paquetage ntp installé sur votre système). En outre, étant donné que certains aspects de Kerberos dépendent du service de noms de domaines (ou DNS, de l'anglais Domain Name Service), assurez-vous que les entrées DNS et les hôtes sur le réseau soient tous correctement configurés. Pour plus d'informations, reportez-vous au Guide de l'administrateur système Kerberos V5 disponible en formats PostScript et HTML dans /usr/share/doc/krb5-server-<version-number> (remplacez <version-number> par le numéro de version du paquetage krb5-server installé sur votre système). |
Précédent | Sommaire | Suivant |
Terminologie Kerberos | Niveau supérieur | Kerberos et PAM (modules d'authentification enfichables) |