Fonctionnement de Kerberos
Vous connaissez à présent quelques termes propres à Kerberos. Voici une explication simplifiée du fonctionnement d'un système d'authentification Kerberos :
Sur un réseau "normal" utilisant des mots de passe pour authentifier les utilisateurs, lorsqu'un utilisateur demande un service réseau nécessitant une authentification, il est invité à entrer son mot de passe. Celui-ci est transmis sous forme de texte en clair ou de hache crypté via le réseau, et l'accès au service réseau est autorisé. Malheureusement, cela signifie que toute personne interceptant des paquets sur le réseau peut potentiellement trouver le nom d'utilisateur et le mode de passe des utilisateurs du réseau.
Pour contrer ce problème, Kerberos utilise un cryptage symétrique et un programme fiable — connu sous le nom de KDC — afin d'authentifier les utilisateurs sur un réseau. Une fois l'authentification effectuée, Kerberos stocke un ticket spécifique à cette session sur l'ordinateur de l'utilisateur et les services kerbérisés rechercheront ce ticket au lieu de demander à l'utilisateur de s'authentifier à l'aide d'un mot de passe.
Lorsqu'un utilisateur d'un réseau "kerbérisé" se connecte sur son poste de travail, son principal est envoyé au KDC comme une demande de TGT. Cette demande peut être émise par le programme de connexion (de sorte qu'elle est transparente pour l'utilisateur) ou par le programme kinit une fois l'utilisateur connecté.
Le KDC vérifie la présence du principal dans sa base de données. Si le principal est trouvé, le KDC crée un TGT, le crypte à l'aide de la clé de l'utilisateur, puis le renvoie à ce dernier.
décrypte le TGT à l'aide de la clé de l'utilisateur (qu'il recompose à partir du mot de passe). Défini pour expirer après un certain laps de temps, le TGT est stocké dans un cache de certificats d'identité. Un délai d'expiration est défini de manière à ce qu'un TGT compromis ne puisse être utilisé que pendant une certaine période de temps, généralement de huit heures (à la différence d'un mot de passe compromis qui peut être utilisé tant qu'il n'a pas été modifié). L'utilisateur n'a pas à entrer à nouveau son mot de passe tant que le TGT n'a pas expiré ou tant qu'il ne se déconnecte pas.
Lorsque l'utilisateur doit accéder à un service réseau, le TGT demande un ticket au TGS (Ticket Granting Service, service d'émission de tickets) fonctionnant sur le KDC. Le TGS émet un ticket pour le service souhaité, qui permet d'authentifier l'utilisateur.
 | Avertissement |
|---|---|
Le système Kerberos peut être compromis à chaque fois qu'un utilisateur présent sur le réseau un service non "kerbérisé" en envoyant un mot de passe en texte en clair. L'utilisation de versions de services non "kerbérisées" devrait être déconseillée. Parmi ces services, on retrouve telnet et ftp. L'utilisation d'autres protocoles sûrs, tels que les services sécurisés OpenSSH ou SSL, est acceptable. |
Ceci est bien sûr une présentation générale du fonctionnement typique de l'authentification de Kerberos sur un réseau. Pour obtenir des informations plus détaillées sur ce sujet, reportez-vous à la la section intitulée Autres ressources.
 | Remarque |
|---|---|
Le bon fonctionnement de Kerberos dépend de certains services réseau. Il a tout d'abord besoin d'une synchronisation approximative de l'horloge entre les ordinateurs du réseau. Si vous n'avez pas installé de programme de synchronisation d'horloge pour le réseau, vous allez devoir le faire. Etant donné que certains aspects de Kerberos reposent sur le DNS (Domain Name Service), veillez à ce que les entrées DNS et les hôtes sur le réseau soient tous correctement configurés. Pour plus d'informations, reportez-vous au Guide de l'administrateur système Kerberos V5, disponible aux formats PostScript et HTML dans /usr/share/doc/krb5-server-numéro-version, (où numéro-version correspond à la version installée sur le système). |