Fig. 1: Secuencia de mensajes de la autenticación Kerberos



Documentos relacionados
Single-Sign-On Índice de contenido

MANUAL DE USUARIO DE OFICINA CONECTADA

GUÍA BÁSICA DE USO DEL SISTEMA RED

ESCUELA POLITÉCNICA NACIONAL 28 DE OCTUBRE, 2015 ORTIZ JÁCOME LEONARDO JOSÉ

Región de Murcia Consejería de Educación, Ciencia e Investigación. Manual Usuario FCT

Manual de usuario para Android de la aplicación PORTAFIRMAS MÓVIL

La publicación. Pere Barnola Augé P08/93133/01510

PLANEAMIENTO DE LAS COMUNICACIONES EN EMERGENCIAS OTRAS REDES PÚBLICAS. Índice 1. INTERNET SERVICIOS DE RADIO BUSQUEDA...

NemoTPV SAT Manual de usuario 1. NemoTPV SAT APLICACIÓN DE GESTIÓN DE SERVICIO TÉCNICO PARA PUNTOS DE VENTA DE EUSKALTEL

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

Servicio de estadísticas de Alojamiento Fecha de revisión: 19/09/2005

UNIDAD DIDACTICA 4 INTEGRACIÓN DE CLIENTES WINDOWS EN UN DOMINIO

SISTEMA InfoSGA Manual de Actualización Mensajeros Radio Worldwide C.A Código Postal 1060

El modelo de datos para la definición de puertas y recintos es el siguiente:

ADMINISTRACIÓN ELECTRÓNICA DEL SIGLO XXI

Sistema de Gestión Académica TESEO. Revisión 1.0. Servicio de Informática Área de Gestión (GESTIÓN DE RESÚMENES DE TESIS DOCTORALES)

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

protección y replicación remota de datos... dib backup remoto GARANTÍA DE CONTINUIDAD DE NEGOCIO ante cualquier contingencia de pérdida de datos

Gestión de Permisos. Documento de Construcción. Copyright 2014 Bizagi

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia

Porqué Nemetschek cambió su sistema de protección de software a NemSLock?

bla bla Guard Guía del usuario

Manual para Empresas Prácticas Curriculares

pgp4usb cifrar tus texto en mensajes de correo electrónico y cifra tus archivos

Instalación. Interfaz gráfico. Programación de Backups. Anexo I: Gestión de la seguridad. Manual de Usuario de Backup Online 1/21.

Departamento CERES Área de Tarjetas Inteligentes Manual de Usuario

Acceso a la aplicación de solicitud de subvenciones (Planes de Formación 2014)

Manual de usuario de IBAI BackupRemoto

EL MODELO DE ESTRATIFICACIÓN POR CAPAS DE TCP/IP DE INTERNET

Curso Internet Básico - Aularagon

Sitios remotos. Configurar un Sitio Remoto

Guía de uso del Cloud Datacenter de acens

GUÍA BÁSICA DE USO DEL SISTEMA RED

5.1. Organizar los roles

!!!!!!!!!!!! SERVIDOR FTP. Práctica de FTP sobre WindowsXP. Paula Juiz López Paula Juiz López - FTP Windows XP" 1

Proceso de cifrado. La fortaleza de los algoritmos es que son públicos, es decir, se conocen todas las transformaciones que se aplican al documento

MANUAL DE AYUDA MÓDULO GOTELGEST.NET PREVENTA/AUTOVENTA

UNIDAD DIDACTICA 16 USUARIOS SAMBA EN UN CONTROLADOR DE DOMINIO LINUX SERVER

MANUAL PARA CREAR USUARIOS. Guía para crear, desactivar e inmovilizar Usuarios de Salesforce

REDES DE ÁREA LOCAL. APLICACIONES Y SERVICIOS EN WINDOWS

Contenido. Curso: Cómo vender por Internet

INVENTARIO INTRODUCCIÓN RESUMEN DE PASOS

Manual de configuración cuentas de en centros educativos

Manual Impress Impress Impress Impress Impress Draw Impress Impress

RESOLUCIÓN DE ERRORES EN MOODLE CAMPUS VIRTUAL-BIRTUALA UPV-EHU

Instituto Tecnológico de Las América. Materia Sistemas operativos III. Temas. Facilitador José Doñe. Sustentante Robín Bienvenido Disla Ramirez

Teclado sobre una PDA para Personas con Parálisis Cerebral

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

Acceso al Disco Compartido y Dispositivos USB y DVD

Introducción a la Firma Electrónica en MIDAS

Correspondencias entre taxonomías XBRL y ontologías en OWL Unai Aguilera, Joseba Abaitua Universidad de Deusto, EmergiaTech

CONFIGURACIÓN EN WINDOWS 7.

CASO PRÁCTICO DISTRIBUCIÓN DE COSTES

Terminales de Captura de Juegos Pax S-80

Ministerio de Comunicaciones, Infraestructura y Vivienda Políticas de Seguridad de Sistemas

4. Si se le han de hacer presupuestos se utiliza un cliente Varios cuyos datos se pasan desde el cliente Marketing mediante un botón.

<SOLICITUD DE CLAVE SAC> MANUAL DE USUARIO

MANUAL DE USO DE LA APLICACIÓN ENCIFRA BOX 2.0

Familia de Windows Server 2003

1. Solicitando una cuenta de correo a nuestro proveedor de Internet. 2. Adquiriendo una cuenta de correo a través de la web (webmail).

QUÉ ES HOMEBASE? Encontrar Libros

Comercial Cartas de Fidelización

Manual Instalación de certificados digitales en Outlook 2000

CONFIGURACION DEL SERVIDOR VIRTUAL EN EL ROUTER E968

Práctica 2: Simón dice

PROPUESTAS COMERCIALES

Google Drive. Registro y gestión de archivos. Manual de uso

Guía Teórica Práctico 1: Ventana de Comandos o Terminal

Configuración de DNS seguros

Aspectos relevantes relacionados con la seguridad

Internet Explorer proporciona diversas características que le ayudan a proteger su privacidad y

HERRAMIENTA DE CONTROL DE PLAGIOS MANUAL DE AYUDA

Contraseñas seguras: Cómo crearlas y utilizarlas

Configuración de la dirección IP del dispositivo de autenticación de Xerox Secure Access Unified ID System Libro blanco

Gestió n de Certificadó Digital

Ing. Cynthia Zúñiga Ramos

GUÍA RÁPIDA DE TRABAJOS CON ARCHIVOS.

Manual de configuración de Adobe Reader para la validación de la firma de un documento Versión 1.0

5. Instalación y configuración de un servidor DNS. (configuración mediante webmin).

INSTALACIÓN DE ORACLE 8i (8.1.7) SOBRE NT

5.2.- Configuración de un Servidor DHCP en Windows 2003 Server

Ayuda de Symantec pcanywhere Web Remote

PRÁCTICA 10. Configuración de Correo y Publicar en la Web

OBTENCIÓN Y RENOVACIÓN (*) DEL CERTIFICADO ELECTRÓNICO DE EMPLEADO PÚBLICO DE LA FÁBRICA NACIONAL DE MONEDA Y TIMBRE (FNMT)

NOTIFICACIÓN DE MOVIMIENTOS DE ESTUPEFACIENTES POR PARTE DE LOS LABORATORIOS FARMACÉUTICOS Y ALMACENES MAYORISTAS DE DISTRIBUCIÓN

TRUECRYPT. TrueCrypt se distribuye gratuitamente y su código fuente está disponible, aunque bajo una licencia restrictiva.

Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.

SEGUIMIENTO EDUCATIVO. Comunicaciones

PRACTICA 6.6 VPN Logmein Hamachi registrarse en la página instalación,

Anexo XVII Caso práctico sobre las infracciones y sanciones de la LOPD

Para detalles y funcionalidades ver Manual para el Administrador

Que es Velneo vdataclient V7?

GUIA PARA EL USO DE E-BANKING. Transacciones a un solo clic!

Práctica 5. Curso

Proyectos Finales. Redes de Computadoras Proyecto 1. Sistema de almacenamiento virtual sobre una plataforma P2P utilizando JXTA.

Servicio de telefonía ip de la Universidad Carlos III de Madrid

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR

Manual SSO Avant2. Última revisión: 02/05/2013. Copyright Codeoscopic S.A.

Transcripción:

PROTOCOLO KERBEROS (Administración Avanzada de Sistemas Operativos. Grado en Ingeniería Informática. Facultad de Informática. Universidad de Murcia. Curso 2011/12). PARTICIPANTES: - Un servidor Kerberos, o KDC ( Key Distribution Center ): máquina Linux, controlador de dominio de Active Directory, Novell KDC, etc (1). Debe ser una máquina especialmente protegida (poner especial cuidado con el cortafuegos), ya que el resto de participantes del protocolo confían ciegamente en ella. - Uno o varios clientes Kerberos: equipos Linux o Windows, desde los que el usuario se autentica, ya sea con el login de PAM (desde el terminal gráfico, desde cualquiera de los terminales de texto, con su, etc), o con un programa especial de Kerberos que en Linux se denomina kinit. - Uno o varios servicios kerberizados: PAM, SSH, FTP, HTTP, NFSv4, etc. En general, cualquier servicio servidor que requiera, en algún momento, la autenticación de un usuario desde un cliente es susceptible de ser kerberizado. (1) Fig. 1: Secuencia de mensajes de la autenticación Kerberos En las prácticas el KDC será una máquina Linux, pero también sería posible que clientes Kerberos se autenticaran contra un KDC que no fuese Linux. Pág. 1 / 5

DESCRIPCIÓN DEL PROTOCOLO: - Fase 2 (empezamos por el final): Contexto: El cliente ya se ha autenticado (ha introducido su password, y lo ha hecho una única vez) contra una base de datos de usuarios Principal, que reside en el KDC (y que no tiene nada que ver con los usuarios del /etc/passwd). Como resultado de la anterior autenticación (que veremos más adelante), el cliente cuenta, durante un período de tiempo virtualmente ilimitado (o hasta que apague su equipo), con: a) Una clave secreta, Kcli, que es compartida por el cliente y por el KDC. b) Un registro en memoria, denominado TGT ( Ticket Granting Ticket ), que está cifrado con una clave secreta, Ktgt, que no conoce el cliente, pero sí el KDC. Este TGT es distinto para cada posible cliente, y almacena: Los datos de autenticación del usuario (2). Un período de validez (normalmente, del orden de una semana). La clave Kcli anteriormente aludida. Además, el servidor del servicio kerberizado también tiene (por cada uno de sus servicios kerberizados, si hubiere varios): a) Una clave secreta, Ksk, que es compartida por el servicio kerberizado y por el KDC. En esta ocasión, Ksk es permanente, y se guarda en el fichero del servidor /etc/krb5.keytab. Este fichero está, por supuesto, encriptado (de hecho, no estaría de más aplicarle un chmod 0700 /etc/krb5.keytab ), y es generado sólo una vez desde la herramienta administrativa de Kerberos (kadmin o kadmin.local), mediante el comando ktadd. (2) Entre ellos figura el nombre de usuario, pero no su contraseña. Pág. 2 / 5

Protocolo de la fase 2 (en la ilustración, pasos 3, 4, 5 y 6): a) El usuario, desde el host cliente, solicita al KDC una acreditación para presentársela al servicio kerberizado (paso 3). Esta solicitud contiene los tres siguientes mensajes. Mensaje A1. Un código que indica el servicio kerberizado ante el que el usuario se quiere autenticar, sin cifrar. Mensaje A2. El TGT, cifrado con la clave Ktgt, que el host cliente no conoce, pero sí el KDC. Mensaje A3. Los datos del usuario y una marca de tiempo asociada al instante actual, cifrados ambos con la clave Kcli, que conocen tanto cliente como KDC. b) El KDC recibe la solicitud anterior. Su proceso expendedor de tickets para servicios kerberizados, denominado TGS ( Ticket Granting Server ), empieza a trabajar partiendo de esta solicitud. En concreto, el TGS descifra el TGT que venía en A2 (mediante Ktgt) y comprueba si los datos de usuario que vienen en él coinciden con los datos de usuario que ha aportado el cliente en el mensaje A3 (este mensaje lo puede descifrar el KDC gracias a que en uno de los campos del TGT venía Kcli). También se lee la marca de tiempo de A3, para comprobar que entre el host cliente y el KDC no existe un desfase temporal superior a 5. Si la comprobación anterior de los datos de usuario que vienen en A2 y A3 es satisfactoria, y si la sincronización entre cliente y KDC también lo es, el proceso TGS del KDC otorgará al usuario un salvoconducto para autenticarse frente al servicio kerberizado, bajo la forma de los dos siguientes mensajes (paso 4): Mensaje B1. Un ticket de servicio para el servicio kerberizado contra el que se quiere autenticar el usuario. Este ticket ha sido cifrado con Ksk (la clave compartida entre KDC y el servicio kerberizado), y contiene: 1. Los datos del usuario. 2. La IP del host cliente. 3. El período de validez del ticket (normalmente, del orden de 1 día). 4. Una nueva clave de cifrado, Kcli2, que se utilizará en el paso siguiente, para cifrar las comunicaciones entre el host cliente y el servidor del servicio kerberizado. Mensaje B2. La nueva clave de cifrado Kcli2 (ver B1), cifrada con Kcli (con ello se pretende que el cliente pueda conocer Kcli2). Pág. 3 / 5

c) El cliente recibe B1 y B2. Con este último obtiene Kcli2. Por último, envía al servidor del servicio kerberizado los dos mensajes siguientes (paso 5): Mensaje C1. El ticket de servicio, es decir, el B1 que le llegó del KDC, sin cambio alguno. Mensaje C2. Los datos de usuario y una marca de tiempo, cifrados con Kcli2. d) El servicio kerberizado recibe C1 (el ticket de servicio) y C2 (los datos de usuario). C1 lo desencripta con Ksk, y obtiene así, entre otras cosas, los datos de usuario y la otra clave, Kcli2, que necesitará para descifrar C2. A continuación, ya con Kcli2, el servicio kerberizado descifra C2, con lo que obtiene los datos de usuario, que deberán coincidir con los del ticket de servicio (C1). También en este caso se comprueba la marca de tiempo que viene en C2, para asegurar que quien solicita la autenticación la ha pedido en los últimos 5. Una vez ejecutados estos pasos, el servicio kerberizado sabrá que el cliente que se dirige a él es, en efecto, quien dice ser (otro asunto serán los permisos de utilización del servicio por parte del cliente, pero la autenticación, que es la parte de la que se responsabiliza Kerberos, ya se ha completado). Por último, el servicio kerberizado envía un acuse de recibo al cliente, bajo la forma de un mensaje cifrado con Kcli2 que contiene la marca de tiempo que venía en C2, pero incrementada en 1. Esto le sirve al cliente para estar también él seguro de que el servicio kerberizado que se dispone a utilizar es, efectivamente, el que él esperaba (paso 6). - Fase 1: Protocolo de la fase 1 (en la ilustración, pasos 1 y 2): a) El usuario introduce su contraseña Kerberos (en el caso del servicio kerberizado PAM, mediante el login; en otros casos, normalmente mediante Kinit), y a continuación, el cliente fabrica una clave secreta, Kinic, que es el valor devuelto por una función hash unidireccional (3) conocida por los clientes y por el KDC, aplicada a la contraseña Kerberos del usuario. Con esta clave secreta (Kinic), el cliente cifra y envía al KDC un mensaje con una marca de tiempo, y envía también un segundo mensaje, esta vez como texto en claro, con el nombre de usuario (paso 1). (3) El hecho de que la función hash sea unidireccional significa que, una vez aplicada, no existe modo alguno de obtener una función inversa que nos devuelva el contenido original. Pág. 4 / 5

b) El proceso AS ( Authentication Server ) del KDC recibe el mensaje con el nombre de usuario y busca en la base de datos su contraseña Kerberos. Seguidamente, obtiene Kinic aplicando la misma función hash que ha utilizado el cliente, y, ya con Kinic, descifra el mensaje de la marca de tiempo. Si comprueba que dicha marca de tiempo no tiene un desfase superior a 5 con el instante actual, el KDC construye un TGT (con los campos ya conocidos, es decir, los datos del usuario autenticado, un período de validez y la clave Kcli) cifrado con Ktgt, y crea también otro mensaje, cifrado con Kinic, cuyo contenido es la clave Kcli, de modo que a partir de ahora entre cliente y KDC sólo se utilizará Kcli, en vez de Kinic (paso 2). CONSIDERACIONES FINALES: Nótese que, con este modo de proceder, se ha logrado un nivel de seguridad bastante alto, por lo siguiente: 1. Se ha evitado la necesidad de transmitir el password a través de la red. 2. Se ha empleado como clave inicial (Kinic) un secreto compartido que está en función del instante en que el usuario introduce en el host cliente su contraseña, y que por tanto no es reutilizable en sucesivas autenticaciones. El resto de comunicaciones se basa en cifrados simétricos cuyas claves compartidas están suficientemente protegidas. 3. Se ha implementado un sistema de autenticación Single Sign-On, que le permite al usuario teclear su contraseña una única vez (al abrir un terminal, si PAM está kerberizado, o, en todo caso, al ejecutar Knit), evitando tener que volver a introducirla cada vez que deba autenticarse ante un servicio kerberizado. En definitiva, los pasos 1 y 2 de la figura 1 se ejecutan una sola vez, y una vez que el host cliente tiene en memoria el TGT del usuario que se ha autenticado en él (4), ya no se le exige volver a introducir el password cada vez que éste quiera utilizar un servicio (pasos del 3 al 6). (4) O los TGT de los usuarios, si se han autenticado en ese mismo host varios usuarios. Pág. 5 / 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback