kerberos - heimdal-- Copie

Embed Size (px)

Text of kerberos - heimdal-- Copie

Installation et configuration du serveur Kerberos

PlanRappels sur kerberos Gnralits Architecture Terminologie Notion de ticket Services kerberos Clefs cryptographiques Accs une ressource Gnration et composition d un ticket Conclusion2

Introduction :

Tous les rseaux sont peu scuriss. Pour garantir la scurit des informations circulant sur ces rseaux, il est ncessaire de crer un systme dauthentification efficace afin que seuls les utilisateurs autoriss puissent avoir accs certaines ressources.

3

Rappels sur KerberosActuellement, trois implmentations de Kerberos version 5 existent :MIT krb5 Heimdal shishi

MIT krb5 dvelopp initialement au MIT, dans le cadre du projet Athena au dbut des annes 80 Version courante : Kerberos V54

GnralitsPrincipesBas sur la notion de Ticket Cryptographie Clefs secrtes Authentification mutuelle Tickets limits dans le temps

Kerberos V5Amliorations par rapport V4 (tickets transfrables, des types de cryptage extensibles ) Standards : RFCs 1510 et 19645

ArchitectureL architecture de Kerberos constitue une architecture 3 tiers :un client un serveur proposant le service que l'utilisateur veut utiliser un serveur d'authentification.Le client reprsente la machine effectuant la requte d'authentification, en gnral, il s'agit d'un PC. Le serveur est un serveur applicatif, comme par exemple un serveur de messagerie ou bien un serveur de fichiers. Le serveur d'authentification est un serveur ddi, dtenant l'ensemble des cls de cryptage des clients et des serveurs du rseau.

6

Terminologie (1/2)Un principal Kerberos :est un client Kerberos, identifiable par un nom unique. Un utilisateur, un client, un serveur sont des principaux Kerberos

Une autorit approuve :stocke les informations de scurit relatives aux principaux gnre et gre les clefs de session7

Terminologie (2/2)Un royaume Kerberos :est une organisation logique dans laquelle s'excute au moins une AA, est capable d authentifier les principaux dclars sur ce serveur.

Un KDC (Key Distribution Center):est le nom donne dans Windows 2000 l autorit approuve.

8

Notion de ticketUn ticket est une structure de donnes constitue d une partie chiffre et d une partie claire. Les tickets servent authentifier les requtes des principaux Deux type de Tickets :Ticket Granting Ticket (TGT) Service Ticket (ST)9

Services KerberosDeux types de services sont requis :un service d authentification (AS ou Authentification Service) un service d obtention de tickets (TGS ou Ticket Granting Service)

Ces services ne tournent pas ncessairement sur le mme serveur

10

Clefs cryptographiquesDans Kerberos, une AA (ie un KDC) gnre et stocke les clefs secrtes (Ksec) des principaux qui lui sont rattachs. (Dans W2K, Ksec est directement drive du mot de passe de l utilisateur) Pour des raisons de scurit, ces clefs secrtes ne servent que lors de la phase initiale d authentification Dans toutes les autres phases, on utilise des clefs de session jetables 11

Accs une ressourceDescription des changes

Authentification initiale1 : Requte dauthentification

2 : Emission dun Ticket TGT

La requte initiale contient (en clair) l identit du requrant et le serveur pour lequel on demande un TGT. Le serveur met un TGT pour le client La partie chiffre est dcrypte avec la clef Ksec du client => seul le bon client peut dchiffrer cette partie13

Demande d un ST1 : Requte de ticket de service

2 : Emission dun Ticket ST

On utilise le TGT obtenu prcdemment pour requrir un ST Le serveur met un ST pour le client et pour le service considr

14

Accs au service1 : Requte de service

2 : Poursuite des changes

On utilise le ST obtenu prcdemment pour accder au service Le serveur de ressources valide alors (ou non) la requte

15

RsumAS Service3 Demande de ST 2 TGT

TGS Service

1 Connexion

4 ST

5 Demande d accs au service

6 Validation

Serveur de ressource

16

Gnration et composition d un ticketTraitement des changes

Accs en trois passesGnration du ticket par le serveur et transmission au client, Traitement du ticket par le client et prparation de la requte au serveur, Traitement de la requte par le serveur et poursuite des changes.

18

Gnration d un ticketChiffrement ChiffrementClef de session

Clef du serveur de ressource

TicketClef du client

Transmis au client

19

Traitement par le clientChiffrement Reu par Le client DchiffrementAuthentifiant Authentifiant

Clef du client

Transmis Au serveur De ressource

20

Traitement par le serveurDchiffrement Authentifiant Authentifiant

Reu par Le serveur De ressource Dchiffrement

OUI

Valide ?

NON

Clef du serveur de ressource

Accs

Refus

21

Structure d un Ticket KerberosChamp t tm m f y m m t t t tm t tt m tm w-t Descripti V (5) y m ' t t N m 'AA y t t t p ' t t t t C f p ' f t y m ' t N m t L t y m y tp p t ' t tf t H t ' t tf t I p t t t t I ' p t t t P t t b ; j ' tp t t t C t t0 t ' p t t t t b C mp t p pp t p p p f C

m

C ff

t

z t

-

t

22

Conclusions

Le protocole Kerberos est donc le systme d'authentification le plus efficace qui existe actuellement. Il assure l'authentification de toutes les entits du rseau de manire centralise et scurise, ce qui permet une facilit D administration et de gestion. Mais ce protocole tant universel et non rserv Microsoft, il est possible d'implmenter un tel systme d'authentification sur n'importe quel systme d'opration.

23

Bibliographieweb.mit.edu/Kerberos/ www.cryptnet.net/fdp/.../kerby-infra.html www.h5l.org/ www.freebsd.org/doc/fr/.../kerberosiv.html www.zeroshell.net/eng/kerberos/ www.kerberos.info/documentation.html

24