18-Mavzu: Kerberos autentifikatsiya serveri. Reja

Download 1.04 Mb.

Sana	09.02.2023
Hajmi	1.04 Mb.
	#1181999

Bog'liq
18-mavzu

Kerberos terminologiyasi

18-Mavzu:Kerberos autentifikatsiya serveri.
Reja:

1.Parollar bilan ishlash qoidalari
2.Faqat bir marta ishlatiladigan parollar
3.Kerberos autentifikatsiya serveri
Tayanch so`zlar: Kerberos autentifikatsiya serveri, autentifikatsiya, Parolli
autentifikatsiya
Kerberos - bu mijoz va server o'rtasida aloqa o'rnatishdan oldin o'zaro autentifikatsiya qilish mexanizmini taklif qiluvchi tarmoq autentifikatsiya protokoli. Kerberos ishonchli uchinchi tomon autentifikatsiya xizmati sifatida autentifikatsiyani kriptografik umumiy sirdan foydalangan holda amalga oshiradi, agar xavfsiz bo'lmagan tarmoq orqali harakatlanuvchi paketlar tajovuzkor tomonidan tutib olinishi, o'zgartirilishi va ishlatilishi mumkin. Kerberos simmetrik kalit kriptografiyasiga asoslangan va kalitlarni tarqatish markazini talab qiladi. Kerberos kengaytmalari ma'lum autentifikatsiya bosqichlarida ochiq kalit kriptografiyasidan foydalanishni ta'minlaydi.
Kerberos terminologiyasi
Chipta (chipta) - talab qilinadigan xizmatni o'z ichiga olgan serverda autentifikatsiya qilish uchun mijozga berilgan vaqtinchalik ma'lumotlar.
Mijoz (mijoz) - Kerberosdan chipta olishi mumkin bo'lgan tarmoqdagi ma'lum bir ob'ekt (foydalanuvchi, xost yoki xizmat).
Kalit tarqatish markazi (KDC) Kerberos chiptalarini chiqaradigan xizmatdir.
Realm - bu Kerberos tomonidan ishlatiladigan, KDC serverlari va bir nechta mijozlardan iborat tarmoq. Hudud nomi katta harflar bilan farqlanadi, odatda katta harflar bilan yoziladi va domen nomi bilan bir xil.
Principal - Kerberos bilan autentifikatsiya qilishga ruxsat berilgan mijoz uchun noyob nom.
Kerberossiz foydalanuvchi mijozga asoslangan login
Foydalanuvchi mijoz kompyuter(lar)ida foydalanuvchi nomi va parolni kiritadi. Pkinit (RFC 4556) kabi boshqa hisob ma'lumotlari mexanizmlari parol o'rniga ochiq kalitlardan foydalanishga imkon beradi. Mijoz parolni simmetrik shifr kalitiga aylantiradi. Bu ishlatiladigan shifrlar to'plamiga qarab, o'rnatilgan kalit rejalashtirishdan yoki bir tomonlama xeshdan foydalanadi.
Server foydalanuvchi nomi va simmetrik shifrni oladi va uni ma'lumotlar bazasidagi ma'lumotlar bilan taqqoslaydi. Agar shifr foydalanuvchi uchun saqlangan shifrga mos kelsa, tizimga kirish muvaffaqiyatli bo'ldi.
Mijoz foydalanuvchi nomidan xizmatlarni so'rab, AS (Autentifikatsiya serveri) ga foydalanuvchi identifikatorining aniq matnli xabarini yuboradi. (Eslatma: na maxfiy kalit, na parol ASga yuborilmaydi.)
AS mijozning ma'lumotlar bazasida mavjudligini tekshiradi. Agar shunday bo'lsa, AS ma'lumotlar bazasida topilgan foydalanuvchi parolini (masalan, Windows Serverdagi Active Directory) xeshlash orqali maxfiy kalitni yaratadi va mijozga quyidagi ikkita xabarni yuboradi:
Kerberos qat'iy vaqt talablariga ega, ya'ni jalb qilingan xostlarning soatlari sozlangan chegaralar doirasida sinxronlashtirilishi kerak. Chiptalarda vaqt mavjud va agar xost soati Kerberos server soati bilan sinxronlashtirilmasa, autentifikatsiya muvaffaqiyatsiz bo'ladi. MIT uchun standart konfiguratsiya soat vaqtlari besh daqiqadan ko'p bo'lmasligini talab qiladi. Amalda, tarmoq vaqti protokoli demonlari odatda xost soatlarini sinxronlashtirish uchun ishlatiladi. E'tibor bering, ba'zi serverlar (Microsoft ilovasi ulardan biri) agar ikkala soatda ham konfiguratsiya qilingan maksimal qiymatdan kattaroq ofset bo'lsa, shifrlangan server vaqtini o'z ichiga olgan KRB_AP_ERR_SKEW natijasini qaytarishi mumkin. Bunday holda, mijoz ofsetni topish uchun taqdim etilgan server vaqtidan foydalanib, vaqtni hisoblash orqali qayta urinib ko'rishi mumkin. Ushbu xatti-harakatlar RFC 4430 da hujjatlashtirilgan.
Boshqaruv protokoli standartlashtirilmagan va server dasturlarida farqlanadi. Parol o'zgarishlari RFC 3244 da tasvirlangan.
Simmetrik kriptografiya qabul qilingan taqdirda (Kerberos simmetrik yoki assimetrik (ochiq kalitli) kriptografiya yordamida ishlashi mumkin), chunki barcha autentifikatsiya markazlashtirilgan kalitlarni tarqatish markazi (KDC) tomonidan boshqariladi, bu autentifikatsiya infratuzilmasining buzilishi tajovuzkorga har qanday foydalanuvchini taqlid qilishga imkon beradi. .
Boshqa xost nomini talab qiladigan har bir tarmoq xizmati Kerberos kalitlarining o'ziga xos to'plamiga muhtoj bo'ladi. Bu virtual hosting va klasterlarni murakkablashtiradi.
Kerberos foydalanuvchi hisoblari va xizmatlaridan Kerberos token serveri bilan ishonchli aloqaga ega boʻlishini talab qiladi.
Mijozning talab qilingan ishonchi bosqichma-bosqich muhitlarni (masalan, sinov muhiti, ishlab chiqarishdan oldingi muhit va ishlab chiqarish muhiti uchun alohida domenlar) yaratishni qiyinlashtiradi: Yoki atrof-muhit domenlarini qat'iy ajratishga to'sqinlik qiluvchi domen ishonch munosabatlari yaratilishi kerak yoki qo'shimcha foydalanuvchi mijozlari kerak. har bir muhit uchun taqdim etilishi kerak.

Download 1.04 Mb.

Do'stlaringiz bilan baham: