ключів сервер TGS має ще один секретний DES-ключ, який розділяє з сервером AS.
Третє завдання - отримання дозволу на доступ безпосередньо до ресурсу - вирішується на рівні ресурсного сервера.
. 6 Первинна аутентифікація
Процес доступу користувача до ресурсів включає дві процедури: по-перше, користувач повинен довести свою легальність (аутентифікація), а по-друге, він повинен отримати дозвіл на виконання певних операцій з певним ресурсом (авторизація). В системі Kerberos користувач один раз аутентифицирующей під час логічного входу в мережу, а потім проходить процедури аутентифікації та авторизації всякий раз, коли йому потрібен доступ до нового ресурсному серверу.
Виконуючи логічний вхід в мережу, користувач, а точніше клієнт Kerberos, встановлений на його комп'ютері, посилає аутентификационной сервера AS ідентифікатор користувача ID (малюнок 3.9).
Спочатку аутентифікаційний сервер перевіряє в базі даних, чи є запис про користувача з таким ідентифікатором, потім, якщо такий запис існує, витягує з неї пароль користувача р. Даний пароль буде потрібно для шифрування всієї інформації, яку направить аутентифікаційний сервер Kerberos-клієнтові як відповіді. А відповідь складається з квитанції T TGS на доступ до сервера квитанцій Kerberos і ключа сеансу K s. Під сеансом тут розуміється весь час роботи користувача, від моменту логічного входу в мережу до моменту логічного виходу. Ключ сеансу буде потрібно для шифрування в процедурах аутентифікації протягом усього користувальницького сеансу. Квитанція шифрується за допомогою секретного DES-ключа К, який поділяють аутентифікаційний сервер і сервер квитанцій. Всі разом - зашифрована квитанція і ключ сеансу - ще раз шифруються за допомогою користувацького пароля р. Таким чином, квитанція шифрується двічі ключем К і паролем р. У наведених вище позначеннях повідомлення-відповідь, яке аутентифікаційний сервер посилає клієнтові, виглядає так: {{T TGS} K, K s} p.
Після того як таке відповідь повідомлення надходить на клієнтську машину, клієнтська програма Kerberos просить користувача ввести свій пароль. Коли користувач вводить пароль, то Kerberos-клієнт пробує за допомогою пароля розшифрувати повідомлення, що надійшло. Якщо пароль вірний, то з повідомлення витягується квитанція на доступ до сервера квитанцій {T TG s} K (в зашифрованому вигляді) і ключ сеансу K s (у відкритому вигляді). Успішна розшифровка повідомлення означає успішну аутентифікацію. Зауважимо, що аутентифікаційний сервер AS аутентифікує користувача без передачі пароля по мережі.
Малюнок 3.9 - Послідовність обміну повідомленнями в системі Kerberos
Квитанція T TGS на доступ до сервера квитанцій TGS є посвідченням легальності користувача і дозволом йому продовжувати процес отримання доступу до ресурсу. Ця квитанція містить:
§ ідентифікатор користувача;
§ ідентифікатор сервера квитанцій, на доступ до якого отримана квитанція;
§ позначку про поточний час;
§ період часу, протягом якого може тривати сеанс;
§ копію ключа сесії KS.
Як вже було сказано, клієнт володіє квитанцією в зашифрованому вигляді. Шифрування підвищує впевненість в тому, що ніхто, навіть сам клієнт - володар цієї квитанції, - не зможе квитанцію підробити, підмінити або змінити. Тільки сервер TGS, отримавши від клієнта квитанцію, зможе її розшифрувати, тому що в його розпорядженні є ключ шифрування К.
Час дії квитанції обмежена тривалістю сеансу. Дозволена тривалість сеансу користувача, яка міститься в квитанції на доступ до сервера квитанцій, задається адміністратором і може змінюватися в залежності від вимог до захищеності мережі. У мережах з жорсткими вимогами до безпеки час сеансу може бути обмежене 30 хвилинами, в інших умовах цей час може скласти 8:00. Інформація, що міститься в квитанції, визначає її термін придатності. Надання квитанції на цілком певний час захищає її від неавторизованого користувача, який міг би її перехопити і використовувати в майбутньому.
. 7 Отримання дозволу на доступ до ресурсного сервера
Отже, наступним етапом для користувача є отримання дозволу на доступ до ресурсного сервера (наприклад, до файлового сервера або сервера додатків). Але для цього треба звернутися до сервера TGS, який видає такі дозволи (квитанції). Щоб отримати доступ до сервера квитанцій, користувач вже обзавівся квитанцією {T TGS} K, виданою йому сервером AS. Незважаючи на захист паролем і шифрування, користувачеві, для того щоб довести сервера квитанцій, що він має право на доступ до ресурсів мережі, потрібно дещо ще, крім квитанції.
