Protocolo de Autenticación

Kerberos utiliza criptografia para verificar la identidad del usuario, manipulando dos tipos de claves:

Clave secreta del usuario: clave conocida únicamente por el usuario y por Kerberos, con la finalidad de autentificar un usuario frente a Kerberos. El Sevidor de Autenticación (AS) conoce las passwords de todos los usuarios y las almacena en una base de datos centralizada. El AS comparte una única clave secreta con cada servidor. Esas claves fueron distribuídas físicamente o de alguna otra forma segura.

Clave de sesión: clave generada por Kerberos luego de autenticar al usuario, con la finalidad de autenticar el intercambio realizado por un determinado par de usuarios que definen una sesión. Esta clave es generada atendiendo una solicitud hecha por los usuarios, siendo válida por un tiempo pre-determinado (tiempo de vida) y conocida únicamente por aquellos para los cuales fue originalmente generada.

Existen dos tipos de credenciales usadas en este modelo: un ticket y un autenticador. Un ticket es un certificado distribuído por Kerberos que contiene el identificador del usuario en el cliente y la dirección de red del cliente, junto con el identificador del servidor. Ese ticket es encriptado (para que no pueda ser alterado por el cliente o por un intruso) usando la clave secreta compartida por el AS y ese servidor. Un autenticador es una credencial generada por el cliente, conteniendo información adicional. Sólo cuando el servidor desencripta el tiket y verifica que el identificador de usuario en el ticket es el mismo que el del mensaje recibido por el cliente, el servidor considera que el usuario es auténtico y otorga el servicio requerido.

El protocolo básico de Kerberos permite a un usuario con conocimiento de la clave secreta del cliente, obtener un ticket y una clave de sesión. Suponer la siguiente situación: un usuario desea chequear sus mail por la mañana, para ello necesitará ingresar la password para acceder al servidor de mail, si luego desea chequear sus mails por la tarde y por la noche, deberá reingresar su password. Una solución para ese problema sería decir que los tickets son reusables. Para una sesión en particular, la workstation almacena el ticket del servidor de mail para que sea utilizado en múltiples accesos a este servidor. Esto crea la necesidad de un ticket para cada servicio diferente (servidor de mail, servidor de impresión, servidor de archivos, ...), y, de esa manera, la primera instancia de cada acceso, requeriría que el usuario ingrese su password.

Otro problema sería la transmisión de la password, la cual podría ser capturada para usar cualquier servicio sin autorización.

Para solucionar los anteriores inconvenientes se introduce un nuevo esquema conocido como TGS (Servidor de Conceción de Tickets), el cual provee facilidades a los usuarios que fueron autenticados por el AS.

El funcionamiento de Kerberos pued ser dividido en cuatro etapas:

1. Conexión al sistema: un cliente se autentica frente a Kerberos recibiendo un ticket y una clave de sesión correspondiente al intercambio entre el cliente y Kerberos, criptografiados con una clave secreta derivada de la password del usuario.
2. Solicitud de acceso al servidor: para cada nuevo servicio a ser utilizado por el cliente debe ser solicitado un ticket y una clave de sesión para ese nuevo intercambio entre el cliente y el servidor. Esa información es enviada al cliente criptografiada con una clave de sesión entre el cliente y Kerberos.
3. Acceso al servidor: el cliente inicialmente envía el ticket recibido para el intercambio con el servidor. Debido a que ese ticket está criptografiado con una clave secreta del servidor, el mismo deberá desencriptarla y así tendrá acceso a la clave de sesión entre el cliente y el servidor, que será válida por un período limitado (tiempo de vida), que generalmente es de 8 horas. Después de este procedimiento, la comunicación entre ellos podrá ser llevada a cabo de una manera confidencial.
4. Mantenimiento de la Base de Datos de Kerberos: comprende el almacenamiento de las claves secretas del cliente y del servidor.

Síntesis del protocolo de comunicación

1. Solicitud de un ticket de acceso
2. Ticket + clave de sesión
3. Solicitud de un ticket de acceso al servicio
4. Ticket + clave de sesión
5. Solicitud de servicio
6. Autenticador del servidor

1. Un usuario desde una workstation requiere un servicio.
2. AS verifica el correcto acceso del usuario a la Base de Datos, crea un ticket y una clave de sesión. Los resultados son encriptados usando la clave derivada de la password del usuario.
3. La workstation solicita la password al usuario y la utiliza para desencriptar el mensage, luego envía al TGS el ticket y el autenticador que contienen el nombre de usuario, la dirección de red y el tiempo de vida del ticket.
4. El TGS desencripta el ticket y el autenticador, verifica la solicitud y crea un ticket para ser enviado al servidor.
5. La workstation envía el ticket y el autenticador al servidor.
6. El servidor verifica que el ticket y el autenticador coincidan, luego permite el acceso al servicio.