 |
Authentification - Le protocole Kerberos
 |
 |
 |
Introduction à Kerberos
Le protocole Kerberos est issu du projet « Athena » du MIT, mené par Miller et Neuman. La version 5 du protocole Kerberos a été normalisée par l'IETF dans les RFC 1510 (septembre 1993) et 1964 (juin 1996). Le nom « Kerberos » provient provient de la mythologie grecque et correspond au nom du chien (en français « Cerbère ») protégeant l'accès aux portes d’Hadès.
L'objet de Kerberos est la mise en place de serveurs d'authentification (AS pour Authentication Server), permettant d'identifier des utilisateurs distants, et des serveurs de délivrement de tickets de service (TGS, pour Ticket Granting System), permettant de les autoriser à accéder à des services réseau. Les clients peuvent aussi bien être des utilisateurs que des machines. La plupart du temps, les deux types de services sont regroupés sur un même serveur, appelé Centre de Distribution des Clés (ou KDC, pour Key Distribution Center).
Fonctionnement de Kerberos
Le protocole Kerberos reponse sur un système de cryptographie à base de clés secrètes (clés symétriques ou clés privées), avec l'algorithme DES. Kerberos partage avec chaque client du réseau une clé secrète faisant office de preuve d'identité.
Le principe de fonctionnement de Kerberos repose sur la notion de « tickets » :
- Afin d'obtenir l'autorisation d'accès à un service, un utilisateur distant doit envoyer son identifiant au serveur d'authentification.
- Le serveur d'authentification vérifie que l'identifiant existe et envoie
un ticket initial au client distant, chiffré avec la clé associée
au client. Le ticket initial contient :
- un clé de session, faisant office de mot de passe temporaire pour chiffrer les communications suivantes ;
- un ticket d'accès au service de délivrement de ticket.
- Le client distant déchiffre le ticket initial avec sa clé et obtient ainsi un ticket et une clé de session.
Par ailleurs, Kerberos propose un système d'authentification mutuelle permettant au client et au serveur de s'identifier réciproquement.
L'authentification proposée par le serveur Kerberos a une durée limitée dans le temps, ce qui permet d'éviter à un pirate de continuer d'avoir accès aux ressources : on parle ainsi d'anti re-jeu.
Plus d'information
- RFC 1510 protocole Kerberos
- RFC 1964 mécanisme et le format d’insertion des jetons de sécurité dans les messages Kerberos
Discussions pertinentes trouvées dans le forum
| 24/01 14h02 |  kerberos |
Réseaux | 24/01 14h49->Potiron | 2 |
| 24/05 11h49 | kerberos |
Réseaux | 24/05 14h11->chuck44 | 2 |
| 27/03 10h27 | Kerberos |
Logiciels/Pilotes | 27/03 11h34->Adel | 1 |
| 23/12 11h05 | kerberos active directory |
Linux/Unix | 24/12 00h17->fablac | 1 |
| 22/12 09h39 |  kerberos et active directory |
Linux/Unix | 22/12 09h39->jal123 | 0 |
| 20/01 21h19 | KERBEROS_V4 rejected FTP |
Linux/Unix | 20/01 21h19->rjcb | 0 |
| 29/05 18h25 | Kerberos |
Réseaux | 29/05 18h25->Carol | 0 |
| 06/03 18h58 | [red hat] kerberos+samba+active directory |
Linux/Unix | 06/03 18h58->choupy18 | 0 |
| 08/03 14h43 | [red hat] kerberos |
Linux/Unix | 08/03 14h43->celine222 | 0 |
| 29/09 15h55 | kerberos sous mandrake 10.1 |
Linux/Unix | 29/09 15h55->milTech | 0 |
 Discussion fermée
 Problème résolu |
 Plus de discussions sur « Kerberos » | |||