Az alábbiakban néhány, a Windows rendszerekben is alkalmazott azonosítási technikákat (authentication) ismertetünk, nem teljes részletességgel, inkább csak áttekintő jelleggel. A teljesebb megismeréshez a lap alján találhatók referenciák.
A protokoll menete:
Munkaállomás Szolgáltató --------------------------> 1. Be szeretnék jelentkezni <-------------------------- 2. Itt küldöm a hash kulcsot (Kihivás)
3. Jelszó titkosítása a kulccsal
--------------------------> 4. Azonosító, titkosított jelszó (Válasz)
5. Az azonosítóhoz kikeresi az itt tárolt jelszót, titkosít- ja a kulccsal és összehason- lítja az átküldött adatokkal. <-------------------------- 6. Elfogadva vagy elutasítva2. Azonosítók átadása (Pass thru)
Ezt a fajta azonosítást tartományok esetében alkalmazzák, amikor például az egyik munkaállomásról a másik munkaállomásra szeretne valaki bejelentkezni. A protokoll első 4 lépése azonos az előző autentikációval.
A protokoll menete:
Munkaállomás1 Munkaállomás2 --------------------------> 1. Be szeretnék jelentkezni <-------------------------- 2. Itt küldöm a hash kulcsot
3. Jelszó titkosítása a kulccsal
--------------------------> 4. Azonosító, titkosított jelszó (Válasz)
5. Az azonosító-jelszó párost keresi az itt tárolt azonosító-jelszó párosok között, de nem találja. Tartományvezérlő Munkaállomás2 6. Összecsomagolja a kulcsot és a "Munkaállomás1"-től kapott adatokat. <-------------------------- 7. Átküldi az adatokat. 8. Ellenőrzi a Munkaállomás1 -től kapott azonosítót, jelszót (kulcsot is megkapta, tehát tudja olvasni) --------------------------> 9. Elfogadva/elutasítva Munkaállomás1 Munkaállomás2 <-------------------------- 10. Elfogadva/elutasítva
3. Kerberos
Kerberos féle autentikáció lényege, hogy a felhasználó a Kerberos kiszolgálónál azonosítja magát, cserébe egy TGT-t, azaz egy azonosítási jegyet kap (TGT - Ticket Granting Ticket). Majd a felhasználó ezzel az azonosítási jeggyel kaphat további jegyeket a többi gép szolgáltatásainak igénybevételéhez.
A Kerberos 3 fő komponensből áll:
- KDC (Key Distribution Center): a jegyek továbbításához szükséges titkosító kulcsok (session key, process key) generálását, karbantartását végzi,
- AS (Authentication Service): a felhasználó kezdeti azonosítását végzi. Az azonosítás után kapja meg a felhasználó a TGT-t.
- TGS (Ticket Granting Service): a TGT birtokában innen igényelhet további jegyeket a felhasználó a különböző szolgáltatásokhoz (sőt a saját gépéhez is!).
Titkosításhoz 3DES-t, azaz szimmetrikus kulcsot használnak. Ehhez a titkosításhoz a kulcsot mindkét félnek kell ismernie. Ez a kulcs pedig a felhasználó jelszava.
A protokoll röviden:
Munkaállomás Kerberos AS --------------------------> 1. Felhasználó felveszi a kapcsolatot az AS-sel, titkosítva. A kulcs (K1) a felhasználó jelszava. 2. Ha a felhasználói jelszóval lehet dekódolni az átküldött adatokat, akkor megy tovább a folyamat. Kerberos KDC Kerberos AS <-------------------------> 3. Új kulcsot kér az AS a KDC-től (K2) Munkaállomás Kerberos AS <--------------------------- 4. A felhasználó megkapja a TGT-t, benne a K2 kulccsal. A küldés során ez az üzenet K1-gyel van titkosítva. Munkaállomás Kerberos TGS ---------------------------> 5. A felhasználó a TGT birtokában a TGS-tól igényel további je- gyeket az egyes szolgáltatásokhoz, pl. Munkaállomás2-höz (sőt! a saját gépéhez is) Kerberos KDC Kerberos TGS <-------------------------> 6. TGS új kulcsot kér a KDC-től, és meg is kapja (K3) Munkaállomás Kerberos TGS (A kapott kulcsot a kérelmező és a célgép - jelen esetben a Munkaállomás2 is megkapja) <--------------------------- 7. K3-t átküldi a TGS K2-vel kódolva Munkaállomás Kerberos TGS <--------------------------- 8. K3-t átküldi a Munkaállomás2-höz (a Munkaállomás2 kulcsával) Munkaállomás Munkaállomás2 <---------------------------> 9. Kommunikálhatnak a K3 kulccsal
További információk: