O protocolo Kerberos usa o Key Distribution Center (KDC) para requisições do serviço de Kerberos.
No domínio Active Directory o KDC é uma das partes do controlador de domínio. O KDC realiza basicamente duas funções: Authentication Service (AS) e Ticket-Grating Service (TGS).
Duas negociações são envolvidas quando o cliente efetua o logon:
- Negociação de autenticação
- Negociação do ticket de serviço
O protocolo Kerberos usa várias chaves para encriptar os dados e mantê-los seguro.
Quando um administrador cria uma conta e senha, o subsistema de segurança usa a senha para criar a chave do usuário.
Quando o computador faz parte do domínio Active Directory, ele recebe uma senha que é usada para criar a chave do sistema.
O TGS usa a chave baseado na senha da conta de serviço, e o Ticket-Granting Ticket (TGT) usa chave short-lived da sessão.
Neste exemplo, mostra como o protocolo Kerberos fornece um mecanismo seguro para autenticação em um ambiente do domínio Windows 2003.
Computador cliente com Windows Vista ingressado no domínio winsec.org.
- No computador cliente Windows Vista, o usuário entra com o usuário do domínio e senha.
- O Local Security Authority (LSA) converte a senha plan text para uma chave de criptografia chamada chave do usuário.
- No computador do cliente que tem o cliente Kerberos cria uma requisição AS que contêm os dados encriptados da pré-autenticação com a chave do usuário.
Neste exemplo, a requisição de autenticação é enviada para o KDC do domínio winsec.org.
- O KDC AS decripta os dados da pré-autenticação e verifica a identidade do usuário.
- O KDC responde com uma mensagem AS de resposta. A mensagem AS de resposta contém informação do ticket e a chave sessão do TGS, ambos são encriptados com a chave do usuário, e o TGT, contém os dados da autorização.
- O TGT é encriptado com a chave TGS, na qual apenas o KDC conhece.
- Quando o computador do cliente recebe a mensagem AS de resposta, é decriptada a chave de sessão TGS usando a chave do usuário.
- Em todas as negociações subseqüentes com o KDC, o computador do cliente usa a chave de sessão TGS.
Neste momento, não foi concedido ao cliente acessar qualquer recursos, nem sequer a recursos no computador local.
- O cliente Kerberos solicita agora um ticket de serviço para concessão ao computador do cliente com Windows Vista.
- O cliente Kerberos envia uma mensagem de requisição TGS para o TGS do KDC.
A mensagem inclui o nome do computador designado, domínio designado e o autenticador para provar que a mensagem foi originada do computador do cliente.
Neste exemplo, o computador cliente é o Windows Vista e o domínio é o winsec.org
- O TGS contém o autenticador encriptado usando a sessão de TGS e uma cópia do TGT, na qual foi encriptado com a chave de serviço do TGS.
- O KDC responde a solicitação do usuário para logar no computador do cliente emitindo duas cópias da chave de sessão.
- A cópia da chave de sessão do usuário é encriptada com a chave de sessão TGS, e a cópia da chave de sessão de computador é colocada, junto com a informação de autorização do usuário, em uma estrutura de dados chamado ticket de serviço.
- A chave de serviço é encriptada usando a chave de sistema do computador.
- O LSA recebe a chave de serviço, e decripta usando a chave de sistema do computador.
- O LSA extrai os dados da autorização, na qual é usada com a informação contida na Local Securty Accounts (SAM) para criar o access token.
- O access token é retornado para o Winlogon, e Winlogon inicia o processo de shell que o usuário usa para interagir com o computador.
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Em breve novos artigos sobre o Windows Vista serão publicados no site insec.org
_______________________________________________________________________________________
Vitor Nakano atua a 10 anos na área de infra-estrutura e segurança voltada à plataforma Microsoft e mentor do site www.winsec.org.
Atualmente é o coordenador do Setor de Segurança da Informação e Arquitetura do Grupo EcoRodovias, responsável pela implantação de importantes projetos de infra-estrutura e segurança e possui certificações Microsoft deste 2002. Em 2008 foi nomeado MVP na categoria Windows Security.
Você pode entrar em contato através do e-mail vitor@winsec.org