rss

Authentification - Le protocole Kerberos

 
Ils ont besoin de votre aide Tous les messages sans réponse

Introduction à Kerberos

Le protocole Kerberos est issu du projet « Athena » du MIT, mené par Miller et Neuman. La version 5 du protocole Kerberos a été normalisée par l'IETF dans les RFC 1510 (septembre 1993) et 1964 (juin 1996). Le nom « Kerberos » provient provient de la mythologie grecque et correspond au nom du chien (en français « Cerbère ») protégeant l'accès aux portes d’Hadès.

L'objet de Kerberos est la mise en place de serveurs d'authentification (AS pour Authentication Server), permettant d'identifier des utilisateurs distants, et des serveurs de délivrement de tickets de service (TGS, pour Ticket Granting System), permettant de les autoriser à accéder à des services réseau. Les clients peuvent aussi bien être des utilisateurs que des machines. La plupart du temps, les deux types de services sont regroupés sur un même serveur, appelé Centre de Distribution des Clés (ou KDC, pour Key Distribution Center).

Fonctionnement de Kerberos

Le protocole Kerberos reponse sur un système de cryptographie à base de clés secrètes (clés symétriques ou clés privées), avec l'algorithme DES. Kerberos partage avec chaque client du réseau une clé secrète faisant office de preuve d'identité.

Le principe de fonctionnement de Kerberos repose sur la notion de « tickets »  :

  • Afin d'obtenir l'autorisation d'accès à un service, un utilisateur distant doit envoyer son identifiant au serveur d'authentification.
  • Le serveur d'authentification vérifie que l'identifiant existe et envoie un ticket initial au client distant, chiffré avec la clé associée au client. Le ticket initial contient :
    • un clé de session, faisant office de mot de passe temporaire pour chiffrer les communications suivantes ;
    • un ticket d'accès au service de délivrement de ticket.
  • Le client distant déchiffre le ticket initial avec sa clé et obtient ainsi un ticket et une clé de session.
Grâce à son ticket et sa clé de session, le client distant peut envoyer une requête chiffrée au service de délivrement de ticket, afin de demander l'accès à un service.

Par ailleurs, Kerberos propose un système d'authentification mutuelle permettant au client et au serveur de s'identifier réciproquement.

L'authentification proposée par le serveur Kerberos a une durée limitée dans le temps, ce qui permet d'éviter à un pirate de continuer d'avoir accès aux ressources : on parle ainsi d'anti re-jeu.

Plus d'information

  • RFC 1510 protocole Kerberos
  • RFC 1964 mécanisme et le format d’insertion des jetons de sécurité dans les messages Kerberos

Ce document intitulé « Authentification - Le protocole Kerberos » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
 
Trucs & astuces pertinents trouvés dans la base de connaissances
10/02 11h16Codes d'erreur de WindowsWindows
12/02 01h07Commandes TCP-IP sous WindowsRéseaux
Plus d'astuces sur « Kerberos »
Discussions pertinentes trouvées dans le forum
27/06 18h52Authentification Kerberos Win2003 / Linux0
21/04 14h56Serveur Kerberos0
11/02 11h31Kerberos0
20/07 11h43[Kerberos] cryptage des données0
23/05 14h13Samba+winbind+kerberos0
Plus de discussions sur « Kerberos »