Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Kerberos
Le librerie sono chiamate SSP (security support provider) e oltre a quella per
Kerberos abbiamo una SSP per NTLM.
Le librerie sono caricate dal Local Security Authority (LSA) all’avvio di Windows.
Kerberos non serve solo per la’utenticazione degli utenti ma anche delle
connesioni (account computer di una rete basata su AD DS).
SSPI (Secure Service Provider Interface) decide quale libreria invocare tra i SSP
disponibili per iniziare la fase di autenticazione è quindi di autorizzazione.
AD DS KDC
Il KDC (Key Distribution Center) si attiva quando una istanza di AD DS viene
installata - serve a mantenere un database di credenziali (in realta il
database è quello di AD DS e le chiavi di crittografia sono salvate come
attributo dell’oggetto di AD DS che rappresenta l’entità, al momento della
creazione dell’oggetto corrispondente).
Questa chiave è la LTK (Long Term Key) ovvero la chiave di crittografia
conosciuta solo dal KDC e dall’entità che si deve autenticare (computer , utenti
e servizi).
I TGT e TGS hanno una scadenza e devono essere rinnovati (il timestamp ha un
rulo importante) : ecco l’importanza della sincronizzazione dell’ora in una rete
AD DS.
Il concetto dei Ticket vale anche per l’account computer che per accedere alla
rete richiede i suoi ticket – il meccanismo funziona,la password non viaggia mai
in rete e se il pacchetto è intercettato non è facile decifrarlo (lo scambio dei
ticket che qui è semplifcato è invece più corposo - le informazioni contenute
sono diverse e le chiavi di crittografia coinvolte variano a seconda del layer sul
quale l’utenticazione sta viaggiando).
Infatti il supporto per questo tipo di sistemi (Smart card e lettori biometrici) è
stato migliorato e la fase di login utenteè stata riscritta dal Team MICROSOFT
responsabile dell’autenticazione (GINA è stata sostituita da LogonUi che
intercetta le credenziali e le passa al SSP di Kerberos).
Naturalmente con il lettore biometrico avrai dei driver e librerie del produttore
che interagiscono con Windows per gestire l’autenticazione.