Протокол Kerberos

Протокол аутентификации Kerberos обычно используется службами каталога, например, Active Directory, для упрощения процедуры вхо­да пользователя в сеть. Успешно зарегистрировавшись на сервере аутентификации (authentication server) с протоколом Kerberos, кли­ент получает доступ ко всем ресурсам сети. Kerberos разработан Мас-сачусетским технологическим институтом и возведен в ранг стандар­та IETF. Этот протокол интенсивно применяется в Windows 2000 и Других ОС для обеспечения безопасности данных, пересылаемых кли-^ентами и серверами сети.

Регистрируясь в сети, в которой используется Kerberos, клиент посылает запрос серверу аутентификации, на котором хранятся имя его учетной записи и пароль. Сервер аутентификации в ответ посы­лает клиенту билет (ticket-granting ticket, TGT), который зашифрован с помощью ключа, основанного на пароле клиента. Получив TGT, клиент предлагает пользователю ввести пароль и использует его для расшифровки TGT. Получивший TGT клиент может обращаться к сетевым ресурсам. Процесс доступа к ним начинается с отправки кли­ентом запроса с зашифрованной копией TGT серверу выдачи биле­тов TGS (ticket-granting server). Сервер TGS расшифровывает TGT, проверяет статус пользователя, создает серверный билет (server ticket) и передает его клиенту.

Серверный билет временно открывает определенному клиенту доступ к определенному серверу. В состав билета входит также сеан­совый ключ (session key), которым клиент и сервер могут при необхо­димости пользоваться для шифрования данных, которыми они обме­ниваются. Клиент пересылает серверный билет серверу, который рас­шифровывает его и разрешает клиенту доступ к нужному ресурсу.