Аутентификация в компьютерной сети Дисциплина «Построение Windows-сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет 11 апреля 2013 г.

Определения Аутентификация – проверка подлинности Авторизация – предоставление прав на выполнение действий

Аутентификация в сетях Windows 2 способа аутентификации: NTLM (без домена и старые компьютеры в домене) Kerberos (основной способ для домена)

NTLM Аутентификация по схеме «запрос- ответ» Общая схема: User Пароль User Hash Запрос X User, f(hash, X) token User Hash X

Kerberos Более современный протокол аутентификации. Надежен при использовании в незащищенных сетях

Kerberos В отличие от NTLM также позволяет: Проводить взаимную аутентификацию Производить делегирование аутентификации Поддерживает аутентификацию при помощи смарт-карт

Kerberos (идея 1) Если у пары абонентов есть общий секретный ключ, то они могут доверять друг другу, если убедятся, что партнер знает этот секрет

Kerberos (идея 1) Стас Ольга Ольга : Время Ольга Время = Время Стас Время Время = Моё время ? ?

Kerberos Вопрос – откуда абоненты возьмут общий ключ? Идея 2: организовать централизованное распределение ключей доверенным центром

Kerberos Kerberos – аутентификация на базе концепции доверенной третьей стороны (TTP) Доверенной стороной выступает контроллер домена со службой центра распределения ключей (KDC)

Kerberos (идея 2) Может быть так? Клиент Сервер KDC Клиенту нужен сервер Ключ

Kerberos (идея 2) На практике реализовано так: Клиент Сервер KDC Клиенту нужен сервер Ключ Мандат Аутентификатор

Kerberos (идея 2) Мандат – сведения о клиенте + ключ сеанса (зашифровано для сервера) Мандаты можно использовать многократно (в течение периода действия – обычно 8 часов) Серверу не надо хранить ключ для клиента

Kerberos Клиент и сервер взаимодействуют с KDC на основе долговременного ключа (основан на пароле пользователя) Долговременный ключ используется только один раз – при первом обращении к KDC В дальнейшем выдается мандат для доступа к KDC – мандат на выдачу мандатов (TGT)