Kerberos 4
Kerberos 4 в значительной степени основан на протоколе Нидхема-Шрёдера, но с двумя существенными изменениями:
• Первое изменение протокола уменьшало количество сообщений пересылаемых между клиентом и сервером аутентификации.
• Второе, более существенное изменение базового протокола, заключается в ведении TGT (Ticket Granting Ticket — билет для получения билета) концепции, позволяющей пользователям аутентифицироваться на несколько сервисов используя свои верительные данные только один раз.
Этап аутентификации клиента
Как результат, протокол Kerberos 4 содержит два логических компонента: Сервер аутентификации (СА) исервер выдачи билетов (TGS — Ticket Granting Server). Обычно эти компоненты поставляются как единая программа, которая запускается на центре распределения ключей (ЦРК — содержит базу данных логинов/паролей для пользователей и сервисов использующих Kerberos).
Сервер аутентификации выполняет одну функцию: получает запрос содержащий имя клиента, запрашивающего аутентификацию, и возвращает ему зашифрованный TGT. Затем пользователь может использовать этот TGT для запроса дальнейших билетов на другие сервисы. В большинстве реализаций Kerberos время жизни TGT 8-10 часов. После этого клиент снова должен запросить его у СА.
Первое сообщение, отправляемое центру распределения ключей — запрос к СА, так же известен как AS_REQ. Это сообщение отправляется открытым текстом и содержит идентификационные данные клиента, метку времени клиента и идентификатор сервера предоставляющего билет (TGS).
Когда ЦРК получает AS_REQ сообщение, он проверяет, что клиент, от которого пришел запрос, существует, и его метка времени близка к локальному времени ЦРК (обычно ± 5 минут). Данная проверка производится не для защиты от повторов (сообщение посылается открытым текстом), а для проверки соответствия времени. Если хотя бы одна из проверок не проходит, то клиенту отправляется сообщение об ошибке, и он не аутентифицируется.
В случае удачной проверки СА генерирует случайный сеансовый ключ, который будет совместно использоваться клиентом и TGS (данный ключ защищает дальнейшие запросы билетов у TGS на другие сервисы). ЦРК создает 2 копии сессионного ключа: одну для клиента и одну для TGS.
Затем ЦРК отвечает клиенту сообщением сервера аутентификации (AS_REP) зашифрованным долгосрочным ключом клиента. Которое включает TGT зашифрованный TGS ключом (TGT содержит: копию сессионного ключа для TGS, идентификатор клиента, время жизни билета, метку времени ЦРК, IP адрес клиента), копию сессионного ключа для клиента, время жизни билета и идентификатор TGS.
Этап авторизации клиента на TGS
Когда пользователь захочет получить доступ к сервису, он подготовит сообщение для TGS (TGS_REQ) содержащее 3 части: идентификатор сервиса, копию TGT полученную ранее и аутентификатор (Аутентификатор состоит из метки времени зашифрованной сессионным ключом полученным от СА и служит для защиты от повторов).
При получении запроса билета от клиента, ЦРК формирует новый сессионный ключ для взаимодействия клиент/сервис. Затем отправляет ответное сообщение (TGS_REP) зашифрованное сессионным ключом полученным от СА. Это сообщение содержит новый сеансовый ключ, билет сервиса (Service ticket содержит: копию нового сессионного ключа, идентификатор клиента, время жизни билета, локальное время ЦРК, IP клиента) зашифрованный долговременным ключом сервиса, идентификатор сервиса и время жизни билета.
Детали последнего шага — отправки билета службы серверу приложений не стандартизировались Kerberos 4, поэтому его реализация полностью зависит от приложения.