Comprendre et mettre en place une architecture Kerberos

Comprendre et mettre en place une architecture Kerberos

Développé par le MIT, Kerberos [8, 4] est un systeme d’authentification sécurisé à tierce personne de confiance (ou TA pour Trusted Authority) con¸cu pour les r´eme d’authorisation d’acc` eseaux TCP/IP. Il ne s’agit pas en revanche d’un syst` es aux ressources, bien que des extentions existent en ce sens : voir [6]. La distribution MIT [10] de Kerberos est libre. Au moment o` u ce document est ´ ecrit, la version courante, disponible surb http://web.mit.edu/kerberos/dist/ est la 1.3.3. Ce syst`eme est bas´e sur l’utilisation de la crytographie `a cl´e priv´ee. Kerberos partage avec chaque entit´e U du r´eseau une cl´e secr`ete KU (un mot de passe dans le cas d’un utilisateur) et la connaissance de cette cl´e tient lieu de preuve d’identit´e. Des extentions existent pour l’utilisation de certificats qui permettent un meilleur passage `a l’echelle (voir [11, 9, 3]). L’authentification est n´egoci´ee par le biais d’un tiers de confiance : le Key Distribution Center (KDC).

Les ´etapes de l’authentification dans le mod`ele de Kerberos sont pr´esent´ees de fa¸con succinte dans la figure 1. Avant de d´etailler plus particuli`erement ces ´etapes, il convient de donner les grandes lignes du protocole Kerberos. Kerberos est bas´e sur l’utilisation de tickets qui serviront `a convaincre une entit´e de l’identit´e d’une autre entit´e. Il cr´ee ´egalement des cl´es de session qui sont donn´ees `a deux participants et qui servent `a chiffrer les donn´ees entre ces deux participants.

Alice l’engendre chaque fois qu’elle veut utiliser un service (TGS ou Bob). Contrairement au ticket qu’Alice peut utiliser plusieurs fois pour acc´eder au service jusqu’`a l’expiration du ticket, un authentifiant ne peut ˆetre utilis´e qu’une seule fois. Cependant, comme Alice poss`ede la cl´e de session partag´ee, elle peut en engendrer autant de fois qu’elle le souhaite.

KRB AS REP : Le serveur d’authentification 4 cherche le client dans sa base de donn´ees. S’il le trouve, il engendre une cl´e de session Ka,tgs qui devra ˆetre utilis´ee entre Alice et le TGS. Cette cl´e est d’une part chiffr´ee avec la cl´e secr`ete Ka d’Alice 5 : c’est la premi`ere partie du message (EKa (Ka,tgs)). Ensuite, il cr´ee un ticket Ta,tgs pour Alice afin que celle ci puisse s’authentifier aupr`es du TGS. Comme on l’a d´ej`a vu, ce ticket est chiffr´e avec la cl´e secr`ete Ktgs du TGS. Alice ne pourra pas le d´echiffrer mais pourra le pr´esenter tel quel `a chaque requˆete au TGS. Dans ce cas particulier, le ticket est appel´e TGT. Il est important de noter que seule la v´eritable Alice est capable de r´ecup´erer la cl´e de session Ka,tgs (elle est la seule `a poss´eder la cl´e secr`ete Ka). Ainsi, Alice dispose maintenant de la cl´e de session Ka,tgs et du TGT Ta,tgs.

KRB TGS REQ : Alice doit maintenant obtenir un nouveau ticket pour chaque Bob qu’elle souhaite contacter. Pour cela, Alice contacte le TGS en lui fournissant d’une part le ticket TGT Ta,tgs qu’elle poss`ede d´ej`a, et un authentifiant Aa,tgs d’autre part (en plus du nom du serveur qu’elle souhaite contacter). L’authentifiant poss`ede des informations format´ees v´erifiables `a partir du ticket par le TGS et comme ces informations sont chiffr´ees avec la cl´e de session Ka,tgs, cela prouve au moins qu’Alice la connait et donc l’authentifie (d’o`u le nom d’authentifiant donn´e `a Aa,tgs).

Il convient d´ej`a d’installer un Linux minimal, sans X ni aucun programme GUI. (de bons guides pour La distribution Debian pourront ˆetre trouver dans [12, 2]). SSH est optionnel. S’il permettra ensuite une administration a distance, l’absence de toute possibilit´e de login `a distance augmentera significativement la s´ecurit´e du KDC. Le serveur Kerberos g`erera un domaine qu’il faudra nommer. La convention veut que ce nom de domaine soit en majuscules et corresponde au nom de domaine r´eseau (par exemple, les machines du domaine exemple.imag.fr seront dans e domaine Kerberos EXEMPLE.IMAG.FR). La topologie des domaines Kerberos doit refleter l’administration systeme plutˆot que la topologie physique du r´eseau. mirror system management topology rather than physical network topology.

Cours gratuitTélécharger le cours complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *