Đồ Án Nghiên cứu về giao thức xác thực kerberos - học viện công nghệ bưu chính viễn thông hcm- khoa công n

I. Tổng quan

II. Lịch sử phát triển

III. Một số khái niệm

IV. Mô hình Kerberos

V. Cơ chế hoạt động

VI. Cài đặt Kerberos

VII. Kerberos 5

VIII. Securiry

IX. Ưu nhược điểm của Kerberos

X. Trust Relationship





III.Một số khái niệm :

 Realm , Principal, instance :

* Realm: là một trường hay một lĩnh vực, nó tương tự như 1 domain nhưng

không phải 1 domain

* Instance: phần chú thích bổ sung thêm

* Principal:

Mỗi thực thể chứa trong bộ cài đặt Kerberos, bao gồm cả người dùng cá nhân,

máy tính, và các dịch vụ đang chạy trên máy chủ, có một principal liên kết với

nó. Mỗi principal liên kết với một khoá dài hạn. Khóa này có thể là một mật

khẩu hay cụm từ mật khẩu. Các principal là tên duy nhất trên toàn cầu. Để

thực hiện việc này, principal được chia thành một cấu trúc thứ bậc.

Mỗi principal bắt đầu với một tên người dùng hoặc tên dịch vụ. Tên người

dùng hoặc tên dịch vụ này phụ thuộc tùy vào các instance khác nhau. Instance

được sử dụng trong hai tình huống: dịch vụ cho principal , và để tạo principal

đặc biệt cho việc sử dụng quản trị. Ví dụ, các quản trị viên có thể có hai lãnh

.


*Đối với Kerberos 4:

có 2 cấu trúc:

+ Username[/instance]@REALM

+ Service/fully-qualified-domain-name@REALM

Đăng Hải là 1 sinh viên của lớp IT nằm trong ban quản trị của trường PTIT có

domain name: ptit.org thì principal mà Kerberos gán cho Đăng Hải là:

<a class="__cf_email__" href="http://www.cloudflare.com/email-protection" data-cfemail="ea828b83c48b8e878384aaa3bec4babea3bec4a5b8ad">[email protected]<script type="text/javascript">
(function(){try{var s,a,i,j,r,c,l,b=document.getElementsByTagName("script");l=b[b.length-1].previousSibling;a=l.getAttribute(data-cfemail);if(a){s=;r=parseInt(a.substr(0,2),16);for(j=2;a.length-j;j+=2){c=parseInt(a.substr(j,2),16)^r;s+=String.fromCharCode(c);}s=document.createTextNode(s);l.parentNode.replaceChild(s,l);}}catch(e){}})();


Ví dụ này cũng như ví dụ trên chỉ khác là có thêm trường instance la admin.

*Đối với Kerberos 5:

Trong thực tế có 1 số trường hợp 2 máy có cùng tên host nhưng ma ở 2

domain khác nhau.Ví dụ, bạn Đăng Hải ở tổ 1 và bạn Hồng Hải ở tổ 2 của

cùng lớp cùng trường.

Ta giả sử bạn Đăng Hải thuộc domain it.ptit.org còn bạn Hồng Hải thuộc

domain it.ptit.edu .Và 2 bạn đều thuộc cùng 1 realm la IT.PTIT.ORG

Vậy đối với Kerberos 4 thì 2 bạn này có cùng principal là <a class="__cf_email__" href="http://www.cloudflare.com/email-protection" data-cfemail="761e171f363f225826223f2258392431">[email protected]<script type="text/javascript">
(function(){try{var s,a,i,j,r,c,l,b=document.getElementsByTagName("script");l=b[b.length-1].previousSibling;a=l.getAttribute(data-cfemail);if(a){s=;r=parseInt(a.substr(0,2),16);for(j=2;a.length-j;j+=2){c=parseInt(a.substr(j,2),16)^r;s+=String.fromCharCode(c);}s=document.createTextNode(s);l.parentNode.replaceChild(s,l);}}catch(e){}})();


Trước thực trạng này , người ta đã cho ra đời Kerberos 5, có 2 cấu trúc :




TGS-Ticket Granting Server:Máy chủ cấp phát vé

TGS là bộ phận nhận vé chấp thuận TGT từ user.TGS có nhiệm vụ kiểm tra

các vé TGT có giá trị không bằng cách kiểm tra xem nó có được mã hóa bởi

key với key của TGT server Kerberos không.Nếu đúng thì gửi cho user vé

dịch vụ mà user muốn sử dụng.

 Ticket:

Vé được cấp bởi TGS và máy chủ ứng dụng, cung cấp sự chứng thực cho máy

chủ ứng dụng hoặc tài nguyên.

Một vé Kerberos là một cấu trúc dữ liệu được mã hóa do KDC tạo ra để share

1 key đã mã hóa của 1 phiên duy nhất.Vé tạo ra có 2 mục đích : xác nhận danh

tính của người tham gia và khởi tạo 1 khóa ngắn hạn để 2 bên có thể giao tiếp

an toàn (gọi la khóa phiên).

.