Аутентификация в компьютерной сети
DESCRIPTION
Аутентификация в компьютерной сети. Дисциплина «Построение Windows -сетей» Сергеев А. Н. Волгоградский государственный социально-педагогический университет 11 апреля 2013 г. Определения. Аутентификация – проверка подлинности Авторизация – предоставление прав на выполнение действий. - PowerPoint PPT PresentationTRANSCRIPT
Аутентификацияв компьютернойсети
Дисциплина «Построение Windows-сетей»
Сергеев А. Н.Волгоградский государственный социально-педагогический университет
11 апреля 2013 г.
Определения
•Аутентификация – проверка подлинности•Авторизация – предоставление
прав на выполнение действий
АутентификациявсетяхWindows
•2 способа аутентификации:•NTLM (без домена и старые
компьютеры в домене)•Kerberos (основной способ для
домена)
NTLM
•Аутентификация по схеме «запрос-ответ»•Общая схема:
User
Пароль
User
Hash
Запрос
X
User, f(hash, X)
token
User
Hash
X
Kerberos
•Более современный протокол аутентификации.•Надежен при использовании в
незащищенных сетях
Kerberos
•В отличие от NTLM также позволяет:• Проводить взаимную аутентификацию• Производить делегирование
аутентификации• Поддерживает аутентификацию при
помощи смарт-карт
Kerberos ( № 1)идея
•Если у пары абонентов есть общий секретный ключ, то они могут доверять друг другу, если убедятся, что партнер знает этот секрет
Kerberos ( № 1)идея
Стас Ольга
Ольга
Ольга : Время
Ольга
Ольга
Время = ВремяСтас
Время
Время = Моё время
?
?
Kerberos
•Вопрос – откуда абоненты возьмут общий ключ?•Идея № 2: организовать
централизованное распределение ключей доверенным центром
Kerberos
•Kerberos – аутентификация на базе концепции доверенной третьей стороны (TTP)•Доверенной стороной выступает
контроллер домена со службой центра распределения ключей (KDC)
Kerberos ( № 2)идея
•Может быть так?
Клиент Сервер
KDC
Клиен
ту нуж
ен
серве
р
Ключ Ключ
Kerberos ( № 2)идея
•На практике реализовано так:
Клиент Сервер
KDC
Клиен
ту нуж
ен
серве
р
Ключ
Мандат
Ман
дат
Аутентификатор
Kerberos ( № 2)идея
•Мандат – сведения о клиенте + ключ сеанса (зашифровано для сервера)•Мандаты можно использовать
многократно (в течение периода действия – обычно 8 часов)•Серверу не надо хранить ключ для
клиента
Kerberos
• Клиент и сервер взаимодействуют с KDC на основе долговременного ключа (основан на пароле пользователя)•Долговременный ключ используется
только один раз – при первом обращении к KDC• В дальнейшем выдается мандат для
доступа к KDC – мандат на выдачу мандатов (TGT)