M04 - Bezpečnost operačního systému a síťové komunikace
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu PDF.
Obrázek 4: Kerberos – základní schéma (msdn.microsoft.com)
Autentizaci protokolem Kerberos ve Windows zajišťuje služba s názvem Key
Distribution Center (KDC), která je spuštěna na každém doménovém řadiči2
Windows 2000, XP nebo 2003. Podivný název služby KDC vyjadřuje další dů-
ležitou funkci služby. Služba KDC zajišťuje nejen autentizaci (Authentication
Service), ale současně je službou pro distribuci lístků (Tiket–Granting Ser-
vice). Lístky představují v protokolu Kerberos základní datovou strukturu,
2Doménové řadiče spravují databázi Active Directory, ve které se rovněž nacházejí bez-
pečnou formou uložené kopie hesel.
12
Bezpečnost operačního systému a počítačové komunikace
která kromě jiných informací obsahuje již zmíněné klíče relací. Pomocí lístku
prokazuje klient svou identitu nejrůznějším službám.
Služba KDC hraje roli důvěryhodného prostředníka mezi klientem a serverem.
Pro vysvětlení třístranné struktury autentizace klient–KDC–server se často
používá podobenství vyplývající z názvu Kerberos (mytický trojhlavý pes).
KDC centralizuje informaci o hlavních (dlouhodobých) klíčích entit (master
key), které se používají pro zabezpečenou distribuci jednotlivých klíčů relací
(session key).
Obrázek 5: Kerberos – výměna lístků (msdn.microsoft.com)
Průběh autentizace prostřednictvím protokolu Kerberos opět popíšeme na pří-
kladu. Předpokládejme prostředí klient–server, ve kterém klient (program,
služba nebo proces), který je aktivní v relaci přihlášení konkrétního uživa-
tele, požaduje přístup k určité službě. Může se jednat např. o otevření složky
nebo souboru, zařazení tiskové úlohy do fronty nebo zpracování určitého data-
bázového dotazu. V bezpečnostním modelu protokolu Kerberos každé takové
akci předchází autentizace.
Poznámka:
Autentizace nemusí být jednosměrná. Také klient může požado-