Mis on autentimispilet?

Autentimispilet on Kerberose võrgu turvaprotokolli turvakomponent. See toimib justkui märgina, väikese andmekoguna, mis edastatakse klientarvuti ja serveri vahel, et need kaks arvutit saaksid üksteisele identiteeti tõestada. Lisaks sellele vastastikusele võrgutuvastusele kirjeldab pilet ka kõiki õigusi, mis kliendil on serverile ja selle teenustele juurdepääsuks, ning seansile eraldatud aega.

Autentimispileteid on sisuliselt kahte tüüpi. Pileti väljastamise pilet (TGT), mida nimetatakse ka piletite hankimiseks, on esmane pilet, mis väljastatakse kliendi arvuti esmakordsel identiteedi tuvastamisel. Seda tüüpi pilet kehtib tavaliselt pikka aega, kuni 10 või enam tundi, ja seda saab igal ajal uuendada selle perioodi jooksul, mil kasutaja on võrku sisse logitud. TGT-ga saab kasutaja seejärel taotleda individuaalseid autentimispileteid, et pääseda juurde teistele võrgu serveritele.

Klientidevaheline pilet, mida nimetatakse ka seansipiletiks, on autentimispileti teine ​​vorm. See on tavaliselt lühiajaline pilet, mis antakse välja siis, kui klient soovib juurdepääsu konkreetse serveri teenusele. Seansipilet sisaldab klientarvuti võrguaadressi, kasutajateavet ja pileti kehtivusaega. Mõnedes Kerberose rakendustes, nagu Microsoft® Active Directory®, saab kasutada ka kolmandat tüüpi piletit, mida nimetatakse suunamispiletiks. Seda piletitüüpi antakse, kui klient soovib pääseda juurde serverile, mis asub tema domeenist eraldiseisvas domeenis.

Kerberose piletite andmise süsteem töötab eraldi serveri kaudu, mida tuntakse võtmejaotuskeskusena (KDC), mis pakub kogu autentimispiletite süsteemi. Sellel masinal töötab kaks alamkomponenti, millest esimene on tuntud kui autentimisserver (AS). AS teab kõigist teistest võrgus olevatest arvutitest ja kasutajatest ning peab nende paroolide andmebaasi. Kui kasutaja võrku logib, annab AS talle TGT.

Kui kasutajal on vaja ligi pääseda kuskil võrgus olevale serverile, kasutab ta varem antud TGT-d ja küsib teenusepiletit KDC teisest osast, mida nimetatakse piletite andmise serveriks (TGS). TGS saadab seansipileti tagasi kasutajale, kes saab seda kasutada soovitud serverile juurdepääsuks. Kui server saab seansipileti, saadab see kasutajale tagasi uue sõnumi, mis kinnitab tema identiteeti ja selle, et kasutajal on luba taotletud teenusele juurde pääseda. Viitamise pileti puhul on vaja lisatoimingut, mille puhul kodudomeeni KDC loob selle asemel suunamispileti, mis võimaldab kliendil taotleda seansipileteid teiselt KDC-lt erinevas võrgudomeenis. Kogu see piletite genereerimise ja jagamise protsess on igal sammul krüptitud, et kaitsta ründaja pealtkuulamise või kasutajaks maskeeritava eest.

Autentimispileti meetodi peamine puudus on kõigi autorisatsioonide tsentraliseeritud struktuur. Kui ründajal õnnestub pääseda juurde KDC-le, pääseb ta sisuliselt ligi kõikidele kasutajaidentiteetidele ja paroolidele ning saab seejärel esineda kellegi teisena. Lisaks, kui KDC muutub kättesaamatuks, ei saaks keegi võrku kasutada. Teine probleem on piletite üksikasjalik elutsükkel, mis nõuab, et kõigi võrgus olevate arvutite kellad oleksid sünkroonitud.