Протокол Kerberos (стр. 4 из 5)
Процесс переадресации запроса несколько усложняется в сетях, где развернуто более двух доменов. Теоретически служба KDC каждого домена может установить непосредственную связь с аналогичными службами всех доменов сети, договорившись с каждой из них об индивидуальном междоменном ключе. Однако на практике количество и сложность подобных взаимосвязей очень быстро возрастают до такой степени, что становятся просто неуправляемыми, особенно в сложных сетях. Протокол Kerberos решает эту проблему, делая ненужными прямые связи между доменами. Клиент одного домена может получить билет на доступ к серверу другого домена через один или несколько промежуточных серверов, каждый из которых выдаст ему билет переадресации.
В качестве примера рассмотрим сеть, состоящую из трех доменов: "Восток", "Запад" и "Штаб-квартира". В службе KDC домена "Восток" нет междоменного ключа для аналогичной службы домена "Запад", но центры распределения ключей обоих доменов наладили обмен билетами с доменом "Штаб-квартира". Когда пользователь с учетной записью в домене "Восток" хочет подключиться к серверу из домена "Запад", его запрос будет переадресован дважды. Сначала он пройдет через службу KDC "родного" домена, затем - через промежуточный домен "Штаб-квартира" и, наконец, достигнет центра распределения ключей домена "Запад", которому известен ключ нужного сервера. Таким образом, клиент здесь посылает сеансовые билеты трижды в три различные службы KDC.
1. Клиент запрашивает у службы KDC домена "Восток" билет на доступ к серверу домена "Запад". Служба KDC домена "Восток" направляет клиенту билет переадресации в службу KDC домена "Штаб-квартира", зашифрованный с междоменным ключом, общим для доменов "Восток" и "Штаб-квартира".
2. Клиент обращается в службу KDC домена "Штаб-квартира" с просьбой о билете на доступ к серверу домена "Запад". Служба KDC домена "Штаб-квартира" направляет клиенту билет переадресации в службу KDC домена "Запад", зашифрованный с междоменным ключом, общим для доменов "Штаб-квартира" и "Запад".
3. Клиент обращается в службу KDC домена "Запад" с просьбой о билете на доступ к серверу домена "Запад". Служба KDC домена "Запад" направляет клиенту билет на доступ к нужному серверу.
Подпротоколы
Протокол Kerberos содержит в себе три подпротокола. Первый из них используется службой KDC для передачи клиенту сеансового ключа регистрации и билета TGT. Он называется Authentication Service Exchange (обмен со службой аутентификации) или, сокращенно AS Exchange. Второй подпротокол под названием Ticket-Granting Service Exchange (обмен со службой выдачи билетов) или TGS Exchange служит для рассылки служебных сеансовых ключей и сеансовых ключей самой службы KDC. Третий подпротокол, Client/Server Exchange (клиент-серверный обмен) или CS Exchange, используется клиентом для пересылки сеансового билета доступа к службам.
Чтобы лучше разобраться в том, как эти подпротоколы взаимодействуют между собой, давайте посмотрим, что происходит, когда Алиса, пользователь рабочей станции, обращается к Бобу, сетевой службе.
Рисунок.5. Подпротокол ASExchange
Получив запрос KRB_AS_REQ, служба KDC обращается в свою базу данных и находит в ней долговременный ключ Алисы, после чего расшифровывает данные предварительной аутентификации и оценивает метку времени, содержащуюся в них. Если проверка прошла успешно, служба KDC делает вывод, что данные предварительной аутентификации были зашифрованы с долговременным ключом Алисы и, следовательно, поступили от клиента, имя которого содержится в первой части сообщения.
После того, как проверка личности Алисы завершена, служба KDC генерирует удостоверение, подтверждающее, что клиент Kerberos на ее рабочей станции имеет право обратиться к службе выдачи билетов. Этот процесс выполняется в два этапа. Во-первых, KDCсоздает сеансовый ключ регистрации и шифрует его копию с помощью долговременного ключа Алисы. Во-вторых, служба включает еще одну копию сеансового ключа регистрации в билет TGT. Туда же заносятся и другая информация об Алисе, например, ее данные авторизации. Затем KDCшифрует билет TGTс собственным долговременным ключом и, наконец, включает зашифрованный сеансовый ключ регистрации вместе с билетом TGTв пакет KRB_AS_REP (KerberosAuthenticationServiceReply - ответ службы аутентификации Kerberos), который направляет клиенту.
Получив такое сообщение, клиент расшифровывает сеансовый ключ регистрации и сохраняет его в кэш-памяти удостоверений. После этого из сообщения извлекается билет TGT, который также помещается в эту кэш-память.
Подпротокол TGSExchange
Клиент Kerberos, установленный на рабочей станции Алисы, запрашивает удостоверение на доступ к службе Боб, для чего посылает в службу KDC сообщение KRB_TGS_REQ (Kerberos Ticket-Granting Service Request - запрос к службе выдачи билетов Kerberos). В него включается имя пользователя, аутентификатор, зашифрованный с помощью сеансового ключа регистрации Алисы, билет TGT, который был получен с помощью подпротокола AS Exchange, а также имя службы, на доступ к которой нужен билет.
Рисунок.6. Подпротокол TGSExchange
Получив запрос KRB_TGS_REQ, служба KDC с помощью собственного секретного ключа расшифровывает билет TGT и извлекает из него сеансовый ключ регистрации Алисы, который тут же использует для расшифровки аутентификатора. Если содержимое аутентификатора выдерживает проверку, служба KDC извлекает из билета TGT регистрационные данные Алисы и генерирует сеансовый ключ, общий для клиента Алисы и службы Боб. Одну копию этого ключа KDC шифрует с помощью сеансового ключа регистрации Алисы, а другую вместе с данными авторизации Алисы помещает в билет, который шифрует с помощью долговременного ключа Боба. После этого удостоверение Алисы включается в пакет KRB_TGS_REP (Kerberos Ticket-Granting Service Reply - ответ службы выдачи билетов Kerberos) и направляется на ее рабочую станцию.
Получив такое сообщение, клиент с помощью сеансового ключа регистрации Алисы расшифровывает сеансовый ключ доступа к службе и помещает его в кэш-память удостоверений. После этого клиент извлекает билет на доступ к службе и сохраняет его в той же кэш-памяти.
Подпротокол CSExchange
Клиент Kerberos, установленный на рабочей станции Алисы, обращается к службе Боб, для чего посылает на нее запрос KRB_AP_REQ (Kerberos Application Request - запрос приложения Kerberos). Это сообщение содержит аутентификатор Алисы, зашифрованный посредством сеансового ключа для службы Боб, билет, полученный с помощью протокола TGS Exchange, а также флаг, указывающий о желании клиента провести взаимную аутентификацию (наличие или отсутствие этого флага определяется конфигурацией Kerberos; он устанавливается автоматически без запроса пользователя).
Рисунок.7. Подпротокол CS Exchange
Получив сообщение KRB_AP_REQ, служба Боб расшифровывает билет, извлекает из него данные авторизации Алисы и сеансовый ключ, с помощью которого сразу же расшифровывает аутентификатор Алисы. Если метка времени, заложенная в него, выдерживает проверку, Боб ищет в запросе флаг взаимной аутентификации. Найдя его, Боб шифрует метку времени из аутентификатора Алисы сеансовым ключом, включает полученный результат в пакет KRB_AP_REP (Kerberos Application Reply - ответ приложения Kerberos) и возвращает его на рабочую станцию Алисы.
После получения пакета клиент рабочей станции Алисы расшифровывает аутентификатор Боба, используя для этого сеансовый ключ, и сравнивает полученную метку времени с исходной. Если они совпадают, делается вывод, что связь установлена с нужной службой, и можно приступать к обмену информацией.
Билеты
Выше мы говорили о билетах лишь в общих чертах. Теперь пришло время более подробно рассмотреть, что же это такое, как рассчитывается срок годности билета, и какая его часть становится известной клиенту. Все эти детали важны для разработки политики Kerberos, поэтому к ним нужно присмотреться как можно ближе.
Что такое билет
В рамках данного информационного документа достаточно перечислить поля билета и описать содержащуюся в них информацию. Более подробно структура билета и различных сообщений Kerberos описана в документе RFC 1510, как представлено в таблице 1.
Таблица 1 - Структура билета и различных сообщений Kerberos
| Название поля | Описание |
| Первые три поля билета не шифруются. Содержащаяся здесь информация пересылается открытым текстом, что позволяет клиенту использовать ее для управления билетами, хранящимися в кэш-памяти. | |
| tkt-vno | Номер версии формата билета. Для Kerberos5 здесь указывается цифра 5. |
| Realm | Имя области (домена), где генерирован билет. Служба KDCможет создавать билеты только для серверов собственной области, поэтому здесь, по существу, указывается имя области, где расположен сервер. |
| Sname | Имя сервера |
| Flags | Флаги билета. |
| Key | Сеансовый ключ |
| Crealm | Имя области (домена) клиента. |
| Cname | Имя клиента. |
| Transited | Список областей Kerberos, принимавших участие в аутентификации клиента, которому выдан данный билет. |
| Authtime | Время первоначальной аутентификации клиента. Служба KDCзаполняет это поле в момент генерации билета TGT. При генерации билетов на основе билета TGTвременная метка из поля authtimeбилета TGTкопируется в поле authtimeгенерируемого билета. |
| Starttime | Время вступления билета в силу. |
| Endtime | Время истечения срока действия билета. |
| renew-till | Наибольшее значение поля endtime, которое может быть задано с помощью флага RENEWABLE (поле необязательное). |
| Caddr | Один или несколько адресов, из которых может использоваться данный билет. Поле необязательное. Если оно не заполнено, билетом можно воспользоваться из любого адреса. |
| Authorization-data | Атрибуты привилегий клиента. Поле необязательное. Его содержимое Kerberosне обрабатывает - оно интерпретируется службой. |
Содержимое поля flags адресуется побитно. Включение и выключение флагов здесь производится изменением значения (0 или 1) соответствующего бита. Длина поля - 32 разряда, однако для администратора Kerberos интерес представляют только 9 флагов билета, представленные в таблице 2.