19.3. Modo en que funciona Kerberos
Kerberos es diferente de los m�todos de autenticaci�n de nombre de usuario/contrase�a. En vez de validar cada usuario para cada servicio de red, Kerberos usa encriptaci�n sim�trica y un tercero, un KDC, para autentificar los usuarios a un conjunto de servicios de red. Una vez que el usuario se ha autentificado al KDC, se le env�a un ticket espec�fico para esa sesi�n de vuelta a la m�quina del usuario y cualquier servicio kerberizado buscar� por el ticket en la m�quina del usuario en vez de preguntarle al usuario que se autentifique usando una contrase�a.
Cuando un usuario en una red kerberizada se registra en su estaci�n de trabajo, su principal se env�a al KDC en una petici�n para un TGT desde el servidor de autenticaci�n (AS). Esta petici�n puede ser enviada por el programa de conexi�n para que sea transparente al usuario o puede ser enviada por el programa kinit despu�s de que el usuario se registre.
El KDC verifica el principal en su base de datos. Si lo encuentra, el KDC crea un TGT,el cual es encriptado usando las llaves del usuario y devuelto al usuario.
El programa login en la m�quina del cliente o kinit descifra el TGT usando la contrase�a del usuario La contrase�a del usuario es usada �nicamente en la m�quina del cliente y no es enviada sobre la red.
El TGT, se configura para que caduque despu�s de un cierto per�odo de tiempo (usualmente 10 horas) y es almacenado en la cach� de credenciales de la m�quina del cliente. Se coloca un tiempo de caducidad de manera que un TGT comprometido s�lo es de utilidad para un intruso por un per�odo corto de tiempo. Una vez que el TGT es emitido, el usuario no tiene que reingresar la contrase�a al KDC sino hasta que el TGT caduque o se desconecte y vuelva a conectarse.
Cuando el usuario necesita acceder a un servicio de red, el software cliente usa el TGT para pedir un nuevo ticket para ese servicio en espec�fico al servidor de otorgamiento de tickets, TGS. El ticket para el servicio es usado para autentificar el usuario a ese servicio de forma transparente.
| Aviso |
---|
| El sistema Kerberos se vuelve vulnerable cada vez que un usuario en la red se valida contra un servicio no kerberizado y env�a una contrase�a en la red en texto plano. Por lo tanto no se recomienda el uso de servicios no kerberizados. Estos servicios incluyen Telnet y FTP. Se acepta el uso de otro tipo de protocolos encriptados, tales como SSH o servicios seguros SSL, pero no es ideal. |
Esto es s�lo una descripci�n general de c�mo funciona la autenticaci�n Kerberos. Si necesita una explicaci�n m�s detallada sobre el funcionamiento de kerberos, vea la Secci�n 19.7.
| Nota |
---|
| Kerberos depende de ciertos servicios de la red para trabajar correctamente. Primero, Kerberos necesita una sincronizaci�n de reloj entre los ordenadores de la red. Por lo tanto, se deber�a cofigurar un programa de sincronizaci�n de reloj para la red, como por ejemplo ntpd. Para m�s informaci�n sobre la configuraci�n de ntpd, vea /usr/share/doc/ntp-<version-number>/index.htm para detalles sobre c�mo configurar un servidor de protocolos de hora de red (reemplace <version-number> con el n�mero de versi�n del paquete ntp instalado en su sistema). Ya que ciertos aspectos de kerberos se apoyan en el Servicio de nombres de dominio (Domain Name System, DNS), debe asegurarse de que las entradas DNS y los hosts en su red est�n configuradas correctamente. Vea el Manual del administrador de Kerberos V5 , proporcionado en PostScript y formatos HTML en /usr/share/doc/krb5-server-<version-number> para m�s informaci�n (reemplace <version-number> con el n�mero de la versi�n del paquete krb5-server instalado en su sistema). |