Flux rss
Ils ont besoin de votre aide
Collection CommentÇaMarche.net
SSO - Single Sign-On

Kerberos

 
Bookmark Ajouter aux favoris / Partager

Introduction à Kerberos

Le protocole Kerberos est issu du projet « Athena » du MIT, mené par Miller et Neuman. La version 5 du protocole Kerberos a été normalisée par l'IETF dans les RFC 1510 (septembre 1993) et 1964 (juin 1996). Le nom « Kerberos » provient provient de la mythologie grecque et correspond au nom du chien (en français « Cerbère ») protégeant l'accès aux portes d’Hadès.

L'objet de Kerberos est la mise en place de serveurs d'authentification (AS pour Authentication Server), permettant d'identifier des utilisateurs distants, et des serveurs de délivrement de tickets de service (TGS, pour Ticket Granting System), permettant de les autoriser à accéder à des services réseau. Les clients peuvent aussi bien être des utilisateurs que des machines. La plupart du temps, les deux types de services sont regroupés sur un même serveur, appelé Centre de Distribution des Clés (ou KDC, pour Key Distribution Center).

Fonctionnement de Kerberos

Le protocole Kerberos reponse sur un système de cryptographie à base de clés secrètes (clés symétriques ou clés privées), avec l'algorithme DES. Kerberos partage avec chaque client du réseau une clé secrète faisant office de preuve d'identité.

Le principe de fonctionnement de Kerberos repose sur la notion de « tickets »  :

  • Afin d'obtenir l'autorisation d'accès à un service, un utilisateur distant doit envoyer son identifiant au serveur d'authentification.
  • Le serveur d'authentification vérifie que l'identifiant existe et envoie un ticket initial au client distant, chiffré avec la clé associée au client. Le ticket initial contient :
    • un clé de session, faisant office de mot de passe temporaire pour chiffrer les communications suivantes ;
    • un ticket d'accès au service de délivrement de ticket.
  • Le client distant déchiffre le ticket initial avec sa clé et obtient ainsi un ticket et une clé de session.
Grâce à son ticket et sa clé de session, le client distant peut envoyer une requête chiffrée au service de délivrement de ticket, afin de demander l'accès à un service.

Par ailleurs, Kerberos propose un système d'authentification mutuelle permettant au client et au serveur de s'identifier réciproquement.

L'authentification proposée par le serveur Kerberos a une durée limitée dans le temps, ce qui permet d'éviter à un pirate de continuer d'avoir accès aux ressources : on parle ainsi d'anti re-jeu.

Plus d'information

  • RFC 1510 protocole Kerberos
  • RFC 1964 mécanisme et le format d’insertion des jetons de sécurité dans les messages Kerberos


Dernière modification le mardi 14 octobre 2008 à 17:40:37.Ce document intitulé « Kerberos » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
[red hat] kerberos+samba+active directory j'essaye de mettre en place kerberos je dispose d'un serveur de fichier samba sous linux (fedora core 3) et d'un controleur de domaine windows 2000. J'ai suivi plusieurs tuto mais je ne comprend pas bien la différence entre la commande getent et... www.commentcamarche.net/forum/affich-2132642-red-hat-kerberos-samba-active-directory
Installer un serveur kerberos sous linux Bonjour, Je cherche un tuto pour mettre en place un serveur kerberos sous une debian. Je n'ai pas trouvé grand chose sur google, voilà pourquoi je me tourne vers vous. Merci d'avance. www.commentcamarche.net/forum/affich-7726669-installer-un-serveur-kerberos-sous-linux
Erreur Kerberos ID4 Bonjour, j'ai un probleme dans cluster avex win server 2003 . Le message d'erreur suivant appru dans le journal des evennement : " Le client Kerberos a reçu une erreur KRB_AP_ERR_MODIFIED du serveur TOTO$. Le nom cible utilisé était... www.commentcamarche.net/forum/affich-12201250-erreur-kerberos-id4
KerberosBonjour, vous pouvez me montrer de quel site j peu telecharger kerberos nimporte qu'elle version , j'en ai besion pour mes etudes et merci d'avance www.commentcamarche.net/forum/affich-4985099-kerberos
Kerberos active directoryRe bonjour, Je crois que j’ai trouvé l’erreur : le package samba que j’ai installé ne prend pas en charge kerberos. La preuve est que quant je tape la commande testparm il ne reconnais pas les variables realm et ads server. Alors la question qui se... www.commentcamarche.net/forum/affich-1196192-kerberos-active-directory
[red hat] kerberosSalut, tout le monde j'essaye de mettre en place kerberos avec du mal :-( tout d'abord quand je passe la commande "net rpc join -U admin" cela me renvoi "unable to join domain..." alors que qd je passe la commande "net ads join -U admin" cela... www.commentcamarche.net/forum/affich-2135722-red-hat-kerberos
Résultats pour Kerberos
Sword Of The StarsOnline enabled, Genre:Straégie, Avis ESRB:Everyone 10+, Développeur:Kerberos Productions, Description:  www.commentcamarche.net/guide/660209-sword-of-the-stars
Sword Of The Stars: Born Of Blood ExpansionGame Expansion:Yes, Online enabled, Genre:Straégie, Développeur:Kerberos Productions, Description: www.commentcamarche.net/guide/909328-sword-of-the-stars-born-of-blood-expansion
HP Digital Sender 9250c9250 c, Ethernet/USB2.0, Divers:40 GB HP high-performance hard disk, Send to E-mail, Send to Folder, LDAP or local address book e-mail addressing, Kerberos and LDAP authentication, Group 1/Group 2 PIN authentication., Plateforme:PC, Profondeur Couleur :8. www.commentcamarche.net/guide/927299-hp-digital-sender-9250c
Résultats pour Kerberos