مکانیزم دسترسی به منابع از طریق پروتکل Kerberos

سلام به دوستان عزیز ITPro ای و علاقه‌مندان به مباحث زیرساخت امنیت شبکه. در قسمت قبل به معرفی اجمالی پروتکل های احراز هویت در مایکروسافت پرداختیم و در این نکته قصد داریم تا مکانیزم عملکرد پروتکل Kerberos را برای شما دوستان تشریح کنیم. فرآیند احراز هویت و تائید اعتبار و نهایتا لاگین کردن ما به ویندوز خیلی بسرعت اتفاق میافتد و همین پارامتر سرعت ممکن است باعث شود که به اشتباه فکر کنیم که در پشت صحنه این احراز هویت، مکانیزم خاصی وجود ندارد.

احراز هویت Kerberos طوری طراحی شده است که با فرمت خاصی از پاکت های داده به نام تیکت (ticket) کار کند. این تیکت ها در شبکه بجای پسورد منتقل میشوند؛ بنابراین اختلال در فرآیند احراز هویت و ترافیک شبکه برای هکرها بیش از پیش سخت تر میشود. سرویس های دومین در اکتیو دایرکتوری در سطح دومین و یا فارست به پیاده سازی پیش فرض Kerberos نیاز دارد. Kerberos Key Distribution Center (KDC ملزم به یکپارچه شدن با دیگر سرویس های امنیتی ویندوز سرور که بر روی DC در حال اجرا هستند، میباشد.

جریان درخواست تیکت Kerberos به سه بخش اصلی تفکیک میشود که عبارتند از:

• سرویس احراز هویت

• سرویس تخصیص تیکت

• کلاینت – سرور

مکانیزم دسترسی به منابع از طریق پروتکل Kerberos

1.. (Kerberos authentication service request (KRB-AS-REQ: هنگامی که سعی دارید تا به ویندوز لاگین کنید، کلاینت با سرویس احراز هویت KDC برای صدور یک تیکت با عمر کم تماس برقرار میکند، این تماس در قالب یک پیام که حاوی هویت کلاینت مانند SID هایش است، میباشد. این پیام به (Ticket Granting Ticket (TGT معروف است.

2.. (Kerberos authentication service response (KRB-AS-REP: سرویس احراز هویت (AS) یک TGT با عمر محدود را ساخته و یک session key را ایجاد میکند که کلاینت از آن برای رمزنگاری ارتباطش با سرویس تخصیص تیکت ((Ticket Granting Service (TGS) استفاده میکند. توجه داشته باشید که در این مرحله کلاینت هنوزهیچ دسترسی ای به منابع لوکال و یا دومین ندارد.

3.. (Kerberos Ticket Granting Service Request (KRB-TGS-REQ: هنگامی که کلاینت میخواهد به منابع دسترسی داشته باشد، درخواستی را به TGS برای صدور تیکت به جهت دسترسی به آن منابع (لوکال یا سرور و سرویس تحت شبکه) ارسال میکند. این تیکت به Service Ticket (ST) یا Session Ticket معروف است. کلاینت برای دریافت Service Ticket بایستی TGT تائید شده، تائید کنند اعتبار و نام منبعی را که میخواهد دسترسی داشته باشد با استفاده از فرمت (Server Principal Name (SPN به TGS تحویل دهد.

4 . (Kerberos Ticket Granting Service Response (KRB-TGS-REP: در این مرحله TGS شروع به بررسی اعتبار مدارکی خواهد بود که کلاینت برای دریافت service ticket به آن ارائه کرده است و در نهایت اگر TGT مورد قبول واقع شود، یک service ticket را صادر خواهد کرد. مشخصات کلاینت از TGT بر روی service ticket کپی خواهد شد و سپس service ticket به کلاینت ارسال میشود.

5.. (Kerberos Application Server Request (KRB-AP-REQ: بعد از این که کلاینت service ticket را دریافت کرد، آن را به همراه تائید کننده جدیدش برای سرور مقصد (منبع) ارسال میکند و تقاضای دسترسی میکند. سرور service ticket را رمزگشایی و هویت تائید کننده اعتبار را بررسی میکند و در نهایت برای سرویس های ویندوز یک access token صادر خواهد کرد. این access token بر مبنای یوزری خواهد بود که تقاضای دسترسی را کرده است و بر اساس SID ها عمل میکند.

6.. (Kerberos Ticket Granting Service Response (KRB-TGS-REP: انجام این مرحله اختیاری است. کلاینت ممکن است از سرور درخواست کند که هویتش را برای احراز هویت های مشترک تائید کند. اگر چنین درخواستی از سوی کلاینت ارسال شود، سرور مقصد یک برچسب زمانی را از سوی تائید کنند اعتبار بهمراه session key رمزنگاری کرده و بسوی کلاینت بازپس میفرستد.

مانا و ITPro ای باشید.

پایان

نویسنده: احسان امجدی

منبع: انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#tgs_چیست؟ #مکانیزم_عملکرد_پروتکل_kerberos
عنوان
1 معرفی پروتکل های احراز هویت Kerberos و NTLM رایگان
2 معرفی پروتکل های Negotiate، Digest Authentication و Schannel در احراز هویت های مایکروسافتی رایگان
3 مکانیزم دسترسی به منابع از طریق پروتکل Kerberos رایگان
زمان و قیمت کل 0″ 0
1 نظر
محمد رفیعی

با سلام و تشکر از مطلب شما

در تکمیل توضیحات ارائه شده و درک بهتر موضوع می توانید از برنامه زیر برای دیدن تیکت هایی که برای شما صادر شده استفاده کنید.

KERBTRAY.exe

KERBTRAY

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....