19.3. Fonctionnement de Kerberos
Kerberos est diff�rent des autres m�thodes d'authentification bas�es sur la combinaison nom d'utilisateur/mot de passe car, au lieu d'authentifier chaque utilisateur aupr�s de chaque service r�seau, il utilise un cryptage sym�trique et un tiers digne de confiance connu sous le nom de Centre de distribution de tickets (ou KDC de l'anglais Key Distribution Center) afin d'authentifier les utilisateurs aupr�s d'un ensemble de services r�seau. Une fois l'authentification aupr�s du KDC effectu�e, il renvoie � l'ordinateur de l'utilisateur un ticket sp�cifique � cette session de sorte que tout service kerberis� puisse rechercher le ticket sur l'ordinateur de l'utilisateur plut�t que de demander � l'utilisateur de s'authentifier � l'aide d'un mot de passe.
Lorsqu'un utilisateur faisant partie d'un r�seau kerberis� se connecte sur son poste de travail, son principal est envoy� au KDC dans une demande de ticket d'�mission de ticket ou TGT (de l'anglais Ticket-granting Ticket) de la part du serveur d'authentification (ou AS de l'anglais Authentication Server). Cette demande peut �tre envoy�e par le programme de connexion afin qu'elle soit transparente pour l'utilisateur ou elle peut �tre soumise par le programme kinit une fois l'utilisateur connect�.
Le KDC v�rifie la pr�sence du principal dans sa base de donn�es. Si le principal y figure, le KDC cr�e un TGT, le crypte � l'aide de la cl� de l'utilisateur, puis le renvoie � ce dernier.
Le programme de connexion ou le progamme kinit pr�sent sur l'ordinateur client d�crypte ensuite le TGT � l'aide de la cl� de l'utilisateur (qu'il obtient � partir du mot de passe). La cl� de l'utilisateur est utilis�e seulement sur l'ordinateur client et n'est pas envoy�e sur le r�seau.
Le TGT, qui est param�tr� de sorte qu'il expire apr�s un certain laps de temps (g�n�ralement dix heures), est stock� dans le cache de certificats d'identit� de l'ordinateur client. Un d�lai d'expiration est d�fini de mani�re � ce qu'un TGT compromis puisse �tre utilis� par un pirate seulement pendant une courte dur�e. Une fois que le TGT est �mis, l'utilisateur n'a pas � redonner son mot de passe au KDC tant que le TGT n'a pas expir� ou tant qu'il ne se d�connecte pas et se connecte � nouveau plus tard.
Chaque fois que l'utilisateur doit acc�der � un service r�seau, le logiciel client utilise le TGT pour demander au serveur d'�mission de tickets (TGS) de fournir un nouveau ticket pour ce service sp�cifique. Le ticket du service est alors �mis et utilis� pour authentifier l'utilisateur aupr�s de ce service de fa�on transparente.
| Avertissement |
---|
| Le syst�me Kerberos peut �tre compromis chaque fois qu'un utilisateur pr�sent sur le r�seau s'authentifie aupr�s d'un service non-kerberis� en envoyant un mot de passe en texte en clair. Telle est la raison pour laquelle l'utilisation d'un service non-kerberis� est fortement d�conseill�e. Parmi de ces services figurent Telnet et FTP. L'utilisation d'autres protocoles crypt�s tels que les services s�curis�s OpenSSH ou SSL est certes acceptable, mais n'est pas id�ale. |
Ces informations n'offrent qu'un aper�u g�n�ral du fonctionnement typique de l'authentification avec Kerberos sur un r�seau. Pour obtenir de plus amples informations sur ce sujet, reportez-vous � la Section 19.7.
| Remarque |
---|
| Le bon fonctionnement de Kerberos d�pend de certains services r�seau. Il a tout d'abord besoin d'une synchronisation approximative de l'horloge entre les diff�rents ordinateurs du r�seau. Par cons�quent, un programme de synchronisation de l'horloge devrait �tre install� pour le r�seau, comme par exemple, ntpd. Pour obtenir de plus amples informations sur la configuration de ntpd, consultez /usr/share/doc/ntp-<version-number>/index.htm et examinez les renseignements concernant la configuration des serveurs Network Time Protocol (remplacez <version-number> par le num�ro de la version du paquetage ntp install�e sur le syst�me). En outre, �tant donn� que certains aspects de Kerberos d�pendent du service de noms de domaines (ou DNS, de l'anglais Domain Name Service), assurez-vous que les entr�es DNS et les h�tes sur le r�seau sont tous correctement configur�s. Pour obtenir de plus amples informations, reportez-vous au guide de l'administrateur syst�me Kerberos V5 (Kerberos V5 System Administrator's Guide) disponible en anglais aux formats PostScript et HTML dans /usr/share/doc/krb5-server-<version-number> (remplacez <version-number> par le num�ro de la version du paquetage krb5-server install�e sur le syst�me). |