Az alábbiakban néhány, a Windows rendszerekben is alkalmazott azonosítási technikákat (authentication) ismertetünk, nem teljes részletességgel, inkább csak áttekintő jelleggel. A teljesebb megismeréshez a lap alján találhatók referenciák.
A protokoll menete:
Munkaállomás Szolgáltató
-------------------------->
1. Be szeretnék jelentkezni
<--------------------------
2. Itt küldöm a hash kulcsot (Kihivás)
3. Jelszó titkosítása a kulccsal
-------------------------->
4. Azonosító, titkosított jelszó (Válasz)
5. Az azonosítóhoz kikeresi az
itt tárolt jelszót, titkosít-
ja a kulccsal és összehason-
lítja az átküldött adatokkal.
<--------------------------
6. Elfogadva vagy elutasítva
2. Azonosítók átadása (Pass thru)Ezt a fajta azonosítást tartományok esetében alkalmazzák, amikor például az egyik munkaállomásról a másik munkaállomásra szeretne valaki bejelentkezni. A protokoll első 4 lépése azonos az előző autentikációval.
A protokoll menete:
Munkaállomás1 Munkaállomás2
-------------------------->
1. Be szeretnék jelentkezni
<--------------------------
2. Itt küldöm a hash kulcsot
3. Jelszó titkosítása a kulccsal
-------------------------->
4. Azonosító, titkosított jelszó (Válasz)
5. Az azonosító-jelszó párost keresi
az itt tárolt azonosító-jelszó
párosok között, de nem találja.
Tartományvezérlő Munkaállomás2
6. Összecsomagolja a kulcsot és a
"Munkaállomás1"-től kapott adatokat.
<--------------------------
7. Átküldi az adatokat.
8. Ellenőrzi a Munkaállomás1
-től kapott azonosítót,
jelszót (kulcsot is megkapta,
tehát tudja olvasni)
-------------------------->
9. Elfogadva/elutasítva
Munkaállomás1 Munkaállomás2
<--------------------------
10. Elfogadva/elutasítva
3. Kerberos
Kerberos féle autentikáció lényege, hogy a felhasználó a Kerberos kiszolgálónál azonosítja magát, cserébe egy TGT-t, azaz egy azonosítási jegyet kap (TGT - Ticket Granting Ticket). Majd a felhasználó ezzel az azonosítási jeggyel kaphat további jegyeket a többi gép szolgáltatásainak igénybevételéhez.
A Kerberos 3 fő komponensből áll:
- KDC (Key Distribution Center): a jegyek továbbításához szükséges titkosító kulcsok (session key, process key) generálását, karbantartását végzi,
- AS (Authentication Service): a felhasználó kezdeti azonosítását végzi. Az azonosítás után kapja meg a felhasználó a TGT-t.
- TGS (Ticket Granting Service): a TGT birtokában innen igényelhet további jegyeket a felhasználó a különböző szolgáltatásokhoz (sőt a saját gépéhez is!).
Titkosításhoz 3DES-t, azaz szimmetrikus kulcsot használnak. Ehhez a titkosításhoz a kulcsot mindkét félnek kell ismernie. Ez a kulcs pedig a felhasználó jelszava.
A protokoll röviden:
Munkaállomás Kerberos AS
-------------------------->
1. Felhasználó felveszi a
kapcsolatot az AS-sel,
titkosítva. A kulcs (K1) a
felhasználó jelszava.
2. Ha a felhasználói jelszóval
lehet dekódolni az átküldött
adatokat, akkor megy tovább
a folyamat.
Kerberos KDC Kerberos AS
<------------------------->
3. Új kulcsot kér az AS a KDC-től
(K2)
Munkaállomás Kerberos AS
<---------------------------
4. A felhasználó megkapja a TGT-t,
benne a K2 kulccsal. A küldés
során ez az üzenet K1-gyel van
titkosítva.
Munkaállomás Kerberos TGS
--------------------------->
5. A felhasználó a TGT birtokában
a TGS-tól igényel további je-
gyeket az egyes szolgáltatásokhoz,
pl. Munkaállomás2-höz (sőt! a saját
gépéhez is)
Kerberos KDC Kerberos TGS
<------------------------->
6. TGS új kulcsot kér a KDC-től, és
meg is kapja (K3)
Munkaállomás Kerberos TGS
(A kapott kulcsot a kérelmező és
a célgép - jelen esetben a
Munkaállomás2 is megkapja)
<---------------------------
7. K3-t átküldi a TGS K2-vel kódolva
Munkaállomás Kerberos TGS
<---------------------------
8. K3-t átküldi a Munkaállomás2-höz
(a Munkaállomás2 kulcsával)
Munkaállomás Munkaállomás2
<--------------------------->
9. Kommunikálhatnak a K3 kulccsal
További információk: