Download - Аутентификация в компьютерной сети
![Page 1: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/1.jpg)
Аутентификацияв компьютернойсети
Дисциплина «Построение Windows-сетей»
Сергеев А. Н.Волгоградский государственный социально-педагогический университет
11 апреля 2013 г.
![Page 2: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/2.jpg)
Определения
•Аутентификация – проверка подлинности•Авторизация – предоставление
прав на выполнение действий
![Page 3: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/3.jpg)
АутентификациявсетяхWindows
•2 способа аутентификации:•NTLM (без домена и старые
компьютеры в домене)•Kerberos (основной способ для
домена)
![Page 4: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/4.jpg)
NTLM
•Аутентификация по схеме «запрос-ответ»•Общая схема:
User
Пароль
User
Hash
Запрос
X
User, f(hash, X)
token
User
Hash
X
![Page 5: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/5.jpg)
Kerberos
•Более современный протокол аутентификации.•Надежен при использовании в
незащищенных сетях
![Page 6: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/6.jpg)
Kerberos
•В отличие от NTLM также позволяет:• Проводить взаимную аутентификацию• Производить делегирование
аутентификации• Поддерживает аутентификацию при
помощи смарт-карт
![Page 7: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/7.jpg)
Kerberos ( № 1)идея
•Если у пары абонентов есть общий секретный ключ, то они могут доверять друг другу, если убедятся, что партнер знает этот секрет
![Page 8: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/8.jpg)
Kerberos ( № 1)идея
Стас Ольга
Ольга
Ольга : Время
Ольга
Ольга
Время = ВремяСтас
Время
Время = Моё время
?
?
![Page 9: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/9.jpg)
Kerberos
•Вопрос – откуда абоненты возьмут общий ключ?•Идея № 2: организовать
централизованное распределение ключей доверенным центром
![Page 10: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/10.jpg)
Kerberos
•Kerberos – аутентификация на базе концепции доверенной третьей стороны (TTP)•Доверенной стороной выступает
контроллер домена со службой центра распределения ключей (KDC)
![Page 11: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/11.jpg)
Kerberos ( № 2)идея
•Может быть так?
Клиент Сервер
KDC
Клиен
ту нуж
ен
серве
р
Ключ Ключ
![Page 12: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/12.jpg)
Kerberos ( № 2)идея
•На практике реализовано так:
Клиент Сервер
KDC
Клиен
ту нуж
ен
серве
р
Ключ
Мандат
Ман
дат
Аутентификатор
![Page 13: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/13.jpg)
Kerberos ( № 2)идея
•Мандат – сведения о клиенте + ключ сеанса (зашифровано для сервера)•Мандаты можно использовать
многократно (в течение периода действия – обычно 8 часов)•Серверу не надо хранить ключ для
клиента
![Page 14: Аутентификация в компьютерной сети](https://reader036.vdocuments.net/reader036/viewer/2022082505/56813b77550346895da48b23/html5/thumbnails/14.jpg)
Kerberos
• Клиент и сервер взаимодействуют с KDC на основе долговременного ключа (основан на пароле пользователя)•Долговременный ключ используется
только один раз – при первом обращении к KDC• В дальнейшем выдается мандат для
доступа к KDC – мандат на выдачу мандатов (TGT)