Kerberos+LDAP+NFSv4: Diferenzas entre revisións

De Wiki do Ciclo ASIR do IES de Rodeira
Saltar á navegación Saltar á procura
Liña 4: Liña 4:
{{boxinfo | Kerberos permite evitar o envío de contrasinais sen cifrar pola rede, centralizar a xestión de usuarios e contrasinais, e almacenar as credenciais en unha única máquina.}}
{{boxinfo | Kerberos permite evitar o envío de contrasinais sen cifrar pola rede, centralizar a xestión de usuarios e contrasinais, e almacenar as credenciais en unha única máquina.}}


:O funcionamento de Kerberos emprega 2 entidades (servidores), o <u>Servidor de Autenticación ('''SA''')</u> e o <u>Servidor de Tickets de Acceso ('''TGS''')</u> co obxecto de asegurar o acceso a un servicio ofrecido como '''NFS'''. Estes dous servidores forman parte do servidor kerberos, que atenderá as solicitudes mediante o seguinte intercambio de mensaxes:
:O funcionamento de Kerberos emprega 2 entidades (servidores), o <u>Servidor de Autenticación ('''SA''')</u> e o <u>Servidor de Tickets de Acceso ('''TGS''')</u> co obxecto de asegurar o acceso a un servicio ofrecido por un ''Proveedor de Servizo'' ('''SS''') como '''NFS'''. Estes dous servidores forman parte do servidor kerberos, que atenderá as solicitudes mediante o seguinte intercambio de mensaxes:


#O usuario introduce no cliente o seu usuario e contrasinal
#O usuario introduce no cliente o seu usuario e contrasinal
Liña 14: Liña 14:
::;'''Mensaxe B''': O ''SA'' obteń o contrasinal do ''TGS'' da BBDD e xenera con ela unha mensaxe cifrada que conten: ''ID de cliente'', ''dirección IP do cliente'', ''periodo de validez do ticket'', e o ''Client/TGS Session Key''. Esta mensaxe é o '''Ticket Granting Ticket (TGT)'''.
::;'''Mensaxe B''': O ''SA'' obteń o contrasinal do ''TGS'' da BBDD e xenera con ela unha mensaxe cifrada que conten: ''ID de cliente'', ''dirección IP do cliente'', ''periodo de validez do ticket'', e o ''Client/TGS Session Key''. Esta mensaxe é o '''Ticket Granting Ticket (TGT)'''.


<ol start='5'><li>O cliente descifra a ''Client/TGS Session Key'', que se utilizará para a comunicación co ''TGS''.</li></ol>
<ol start='5'><li>O cliente descifra a ''Client/TGS Session Key'' da ''Mensaxe A'', que se utilizará para a comunicación co ''TGS''.</li></ol>
<ol start='6'><li>Cando o cliente precise un servicio, necesitará solicitarllo ao ''TGS'' mediante as seguintes mensaxes:</li></ol>
<ol start='6'><li>Cando o cliente precise un servicio, necesitará solicitarllo ao ''TGS'' mediante as seguintes mensaxes:</li></ol>
::;'''Mensaxe C''': Composta polo '''TGT''' e a ID do servicio solicitado.
::;'''Mensaxe C''': Composta polo '''TGT''' e a ID do servicio solicitado.
{{boxinfo|Debemos recordar que o cliente non ten acceso ao contido do ''TGT'' xa que está cifrado coa contrasinal do TGS.}}
{{boxinfo|Debemos recordar que o cliente non ten acceso ao contido do ''TGT'' xa que está cifrado coa contrasinal do TGS.}}
Mensaxe D: Composta polo ID do cliente e unha marca de tempo, e cifrado coa Client/TGS Session Key obtida da mensaxe A, chamada Autenticador.
::;'''Mensaxe D''': Cifrado coa ''Client/TGS Session Key'' obtida da ''Mensaxe A'' e composta polo ''ID de cliente'' e unha ''marca de tempo'', chamada '''Autenticador'''.
7. O TGS descifra a mensaxe D (Autenticador) utilizando a Client/TGS Session Key obtida do TGT da mensaxe C, e envía ao cliente:
<ol start='7'><li>O ''TGS'' descifra o ''TGT'' da ''Mensaxe C'' obtendo a ''Client/TGS Session Key'' necesaria para descifrar a ''Mensaxe D (Autenticador)'' e obtendo así o ''ID de cliente'' e a ''marca de tempo''
Mensaxe E: Composta polo ID de cliente, IP do cliente, periodo de validez e unha chave de sesión xenerada para a comunicación entre Cliente e Servidor (Client/Server Session Key), todo elo cifrado coa chave segreda do servicio, chamada Client-To-Server Ticket.
<ol start='8'><li>O ''TGS'' con esta información crea unha mensaxe composta pola ''ID de cliente'',''IP do cliente'',''Periodo de validez'' e a ''Client/Server Session Key'' xenerada para a comunicación. Esta mensaxe se cifra coa ''Chave Segreda do Servizo'' e se chama '''Client-To-Server Ticket''' (''Mensaxe E''). Tamén se crea outra mensaxe composta pola ''Client/Server Session Key'' cifrada coa ''Client/TGS Session Key'' (''Mensaxe F''). Se envían estas dúas mensaxes ao cliente</li></ol>
<ol start='9'><li>Unha vez recibidas estas mensaxes, o cliente poderá autenticarse para acceder ao servizo enviando ao ''Proveedor do Servizo (SS)'' a ''Mensaxe E'', e unha nova mensaxe cifrada coa ''Client/Server Session Key'' obtida da ''Mensaxe F'' que terá o ''ID do cliente'' e unha ''Marca de Tempo''.</li></ol>
Mensaxe F: Client/Server Session Key, cifrada co Client/TGS session Key.
<ol start='10'><li>''O proveedor de servizo (SS)'' descifrará a ''Mensaxe E'' coas súa chave sergreda obtendo así a ''Client/Server Session Key'' que lle permitirá descifrar a ''Mensaxe F'' e crear unha mensaxe de autorización de acceso ao servizo (''Mensaxe H'') composta pola marca de tempo obtida da ''Mensaxe F''+1 e cifrada coa ''Client/Server Session Key''.</li></ol>
8. Unha vez recibidas estas mensaxes, o cliente xa dispón da información necesaria para acceder ao servizo autenticándose no SS enviando as seguintes mensaxes:
<ol start='11'><li>O cliente descifra a mensaxe de autorización e confirma a corrección da marca de tempo. Si é correcto, poderá empezar a utilizar o servizo.</li></ol>
A Mensaxe E recibida do TGS.
Mensaxe G: Composta polo ID do cliente e unha marca de tempo cifrada co Client/Server Session Key, obtida da Mensaxe F.
9. O Proveedor do servicio (SS) descifrará a Mensaxe E utilizando a súa propia chave segreda (coa que descifrará a Mensaxe E, e polo tanto tamén a Mensaxe F) e respostará ao cliente para confirmar a súa autenticidade e a súa disposición a ofrecer o servizo:
Mensaxe H: A marca de tempo obtida da Mensaxe G+1, cifrada co Client/Server Session Key
10. O cliente descifra a confirmación e verifica a marca de tempo, si todo é correcto, poderá confiar no servidor e poderá comenzar o uso do servizo.
11. O Servidor proporciona o servicio ao cliente.


=LDAP=
=LDAP=

Revisión como estaba o 29 de setembro de 2013 ás 16:39

Kerberos

Kerberos é un protocolo de autenticación que permite a ordenadores nunha rede insegura identificarse mutuamente de xeito seguro. Tanto os clientes coma o servidor verificarán a identidade un do outro. Kerberos básase en criptografía de chave simétrica e precisa dun terceiro de confianza, ainda que existen extensións que permiten o uso de criptografía de chave asimétrica. Kerberos establece tamén unha duración das autorizacións, de xeito que únicamente é necesario autenticarse unha vez ata que caduque a concesión.
Boxinfo info.png
Kerberos permite evitar o envío de contrasinais sen cifrar pola rede, centralizar a xestión de usuarios e contrasinais, e almacenar as credenciais en unha única máquina.
O funcionamento de Kerberos emprega 2 entidades (servidores), o Servidor de Autenticación (SA) e o Servidor de Tickets de Acceso (TGS) co obxecto de asegurar o acceso a un servicio ofrecido por un Proveedor de Servizo (SS) como NFS. Estes dous servidores forman parte do servidor kerberos, que atenderá as solicitudes mediante o seguinte intercambio de mensaxes:
  1. O usuario introduce no cliente o seu usuario e contrasinal
  2. O cliente transforma o contrasinal con cifrado de un so sentido, creando a chave segreda do cliente.
  3. O cliente envía unha mensaxe en claro ao SA solicitando servicio para o usuario identificado.
  4. O SA verifica que o usuario está na súa base de datos obtendo a súa contrasinal da BBDD e xerando a chave segreda do cliente que cotexará coa recibida. Si coinciden se crearán dúas mensaxes que se envían ao cliente:
Mensaxe A
O SA Crea unha mensaxe cifrada coa chave segreda do cliente, chamada Client/TGS Session Key.
Mensaxe B
O SA obteń o contrasinal do TGS da BBDD e xenera con ela unha mensaxe cifrada que conten: ID de cliente, dirección IP do cliente, periodo de validez do ticket, e o Client/TGS Session Key. Esta mensaxe é o Ticket Granting Ticket (TGT).
  1. O cliente descifra a Client/TGS Session Key da Mensaxe A, que se utilizará para a comunicación co TGS.
  1. Cando o cliente precise un servicio, necesitará solicitarllo ao TGS mediante as seguintes mensaxes:
Mensaxe C
Composta polo TGT e a ID do servicio solicitado.
Boxinfo info.png
Debemos recordar que o cliente non ten acceso ao contido do TGT xa que está cifrado coa contrasinal do TGS.
Mensaxe D
Cifrado coa Client/TGS Session Key obtida da Mensaxe A e composta polo ID de cliente e unha marca de tempo, chamada Autenticador.
  1. O TGS descifra o TGT da Mensaxe C obtendo a Client/TGS Session Key necesaria para descifrar a Mensaxe D (Autenticador) e obtendo así o ID de cliente e a marca de tempo
    1. O TGS con esta información crea unha mensaxe composta pola ID de cliente,IP do cliente,Periodo de validez e a Client/Server Session Key xenerada para a comunicación. Esta mensaxe se cifra coa Chave Segreda do Servizo e se chama Client-To-Server Ticket (Mensaxe E). Tamén se crea outra mensaxe composta pola Client/Server Session Key cifrada coa Client/TGS Session Key (Mensaxe F). Se envían estas dúas mensaxes ao cliente
    1. Unha vez recibidas estas mensaxes, o cliente poderá autenticarse para acceder ao servizo enviando ao Proveedor do Servizo (SS) a Mensaxe E, e unha nova mensaxe cifrada coa Client/Server Session Key obtida da Mensaxe F que terá o ID do cliente e unha Marca de Tempo.
    1. O proveedor de servizo (SS) descifrará a Mensaxe E coas súa chave sergreda obtendo así a Client/Server Session Key que lle permitirá descifrar a Mensaxe F e crear unha mensaxe de autorización de acceso ao servizo (Mensaxe H) composta pola marca de tempo obtida da Mensaxe F+1 e cifrada coa Client/Server Session Key.
    1. O cliente descifra a mensaxe de autorización e confirma a corrección da marca de tempo. Si é correcto, poderá empezar a utilizar o servizo.

    LDAP

    NFSv4