. Сеанс начинается с получения пользователем
Абилета для получения билета - Ticket-Granting Ticket (TGT) от
ЦРК. Когда пользователь желает получить доступ к некоторому серверу
В, то сначала отправляет запрос на
билет для доступа к этому серверу вместе со своим билетом
TGT в
ЦРК.
TGT содержит информацию о сеансе регистрации пользователя
А и позволяет
ЦРК
оперировать, не поддерживая постоянно информацию о сеансе регистрации каждого пользователя. В ответ на свой запрос пользователь
А получает зашифрованный сеансовый ключ
S>A и
билет на доступ к серверуВ. Сеансовый ключ зашифрован секретным ключом, известным только пользователю
А и
ЦРК.
Билет на доступ к серверуВ содержит тот же самый сеансовый ключ, однако он шифруется секретным ключом, известным только серверу
В и
ЦРК.
Аутентификация происходит тогда, когда пользователь А и сервер доказывают знание своего секретного ключа. Пользователь шифрует метку времени и отправляет ее на сервер В. Сервер расшифровывает метку, увеличивает ее значение на единицу, вновь зашифровывает и отправляет шифртекст пользователю А. Пользователь А расшифровывает ответ, и если в нем содержится значение метки времени с приращением, то аутентификация завершается успешно, в противном случае - неудачно. После взаимной аутентификации сеансовый ключ может использоваться для шифрования сообщений, которыми обмениваются пользователь А и сервер В. Очевидно, что стороны должны доверять ЦРК, поскольку он хранит копии всех секретных ключей.
Рассмотрим более подробно аутентификацию в системе Kerberos (рис. 2.4), которая выполняется за четыре шага:
1 получение пользователем билета TGT на билеты;
2 получение пользователем билета на доступ к серверу ;
3 аутентификация пользователя сервером;
4 аутентификация сервера пользователем.
Получение пользователем билета TGT на билеты
В начале сеанса регистрации пользователь обращается к сервису аутентификации (Authentication Service - AS) Kerberos за получением билета TGT для ЦРК. Обмен сообщениями с сервисом AS не требует от пользователя А подтверждения своей идентичности. Обмен состоит из двух сообщений: запроса от А и ответа сервиса AS. Запрос содержит просто имя пользователя А, а ответ сервиса AS - сеансовый ключ регистрации S>A и билет TGT, зашифрованные секретным ключом К>A пользователя А.
Обычно ключ К>A извлекается из пароля пользователя А, что позволяет пользователю не запоминать двоичный симметричный ключ и обращаться к Kerberos с любой рабочей станции. Билет TGT содержит сеансовый ключ