next up previous index
Következő: 5.9.7 Linux szerverek biztonsági Fel: 5.9.6 Biztonság a hálózatokon Előző: 5.9.6.4 Secure Socket Layer   Index

5.9.6.5 Kerberos

A hálózaton a felhasználók és a szolgáltatások eredetiségét vizsgálja. Ez egy megbízható, három oldalú szolgáltatás. Ez azt jelenti, hogy van egy harmadik fél (a kerberos szerver), akiben mindenki megbízik a hálózaton (felhasználók és szolgáltatások, amiket ,,megbízóknak'' nevezünk).

DES alapú titkosítást használ, és a titkosító algoritmus ,,jósága'' miatt exportkorlátozás alá esik az Egyesült Államokban. Ezért az Egyesült Államokon kívüli társaság tartja karban és fejleszti.

Sok dolgot magában foglal, a telnet-től a POP3 szerveren keresztül, egészen az X kapcsolatok titkosításáig.

,,Amikor a felhasználó bejelentkezik valamelyik számítógépbe, és már beírta a nevét a login: üzenet után, a login program (aki a bejelentkezéskor fellépő feladatokat végzi el) egy üzenetet küld a Kerberos illetékesség-vizsgáló szervernek. Az üzenet tartalmaz két szöveget: az egyik szöveg a felhasználó azonosítója, a másik szöveg pedig az ún. jegykiadó szerver (ticket-granting szerver, TGS) nevét tartalmazza.

Az illetékesség-vizsgáló szerver a fent említett adatbázisból kikeresi a kapott üzenetben lévő két azonosítóhoz tartozó kulcsokat (a felhasználói azonosítóhoz tárolt kulcs megegyezik a felhasználó titkosított jelszavával). Ezután a szerver egy válaszüzenetet küld vissza, ami tartalmaz egy titkos ún. TGS-kulcsot, és egy ún. jegyet. Ez a TGS-jegy tartalmazza a felhasználói azonosítót, a jegykiadó szerver (TGS) nevét, annak a számítógépnek az Internet címét, amelyen a felhasználó dolgozik, és a fent említett TGS-kulcsot. A TGS-jegy az üzenetben titkosítva van a felhasználó által nem ismert kulccsal (a jegykiadó szerver azonosítójához tartozó kulccsal), és a teljes üzenet titkosítva van a felhasználó titkosított jelszavával, hogy más ne férjen hozzá a tartalmához.

A felhasználó jelszavának beadása után az azonosító szervertől visszakapott üzenetet a login program a felhasználó titkosított jelszavával dekódolja, és a TGS-kulcsot valamint a (titkosított) TGS-jegyet eltárolja.

Ezután ha a felhasználónak valamilyen hálózati szolgáltatásra van szüksége, akkor a jegykiadó szervertől (TGS-től) kérnie kell egy ,,jegyet'' a kívánt szerverhez, és a szervernél ezzel a jeggyel azonosíthatja magát.'' [7]


next up previous index
Következő: 5.9.7 Linux szerverek biztonsági Fel: 5.9.6 Biztonság a hálózatokon Előző: 5.9.6.4 Secure Socket Layer   Index

1999-09-17