| Versione documento: | 1.0.3 (26/11/2006) English version |
| Autore: | Fulvio Ricciardi (Fulvio.Ricciardi@le.infn.it) INFN – Istituto Nazionale di Fisica Nucleare Servizio di Calcolo e Reti – LECCE |
| Nota: | Nuove versioni di questo documento saranno disponibili all’URL http://www.kerberos.org/software/tutorial.html a cura del MIT Kerberos Consortium del Massachusetts Institute of Technology |
1 Protocollo Kerberos
1.1 Premessa
1.2 Obiettivi
1.3Definizione dei componenti e dei termini
1.3.1 Realm
1.3.2 Principal
1.3.3 Ticket
1.3.4Encryption
1.3.4.1 Encryption type
1.3.4.2 Encryption key
1.3.4.3 Salt
1.3.4.4 Key Version Number (kvno)
1.3.5Key Distribution Center (KDC)
1.3.5.1 Database
1.3.5.2 Authentication Server (AS)
1.3.5.3 Ticket Granting Server (TGS)
1.3.6 Session Key
1.3.7 Authenticator
1.3.8 Replay Cache
1.3.9 Cache delle Credenziali
1.4Funzionamento di Kerberos
1.4.1 Authentication Server Request (AS_REQ)
1.4.2 Authentication Server Reply (AS_REP)
1.4.3 Ticket Granting Server Request (TGS_REQ)
1.4.4 Ticket Granting Server Reply (TGS_REP)
1.4.5 Application Server Request (AP_REQ)
1.4.6 Application Server Reply (AP_REP)
1.4.7 Pre-Authentication
1.5Ticket più in dettaglio
1.5.1 Ticket iniziali
1.5.2 Ticket rinnovabili
1.5.3 Ticket forwardabili
1.6Cross Authentication
1.6.1 Relazioni di fiducia dirette (Direct Relationships)
1.6.2 Relazioni di fiducia transitive
1.6.3 Relazioni di fiducia gerarchiche
1.7Tipi di Attacchi a Kerberos
1.7.1 Dizionario e Brute-Force
1.7.2 Replay Attack
1.7.3 DDoS
2 Implementazioni di Kerberos
2.1 MIT Kerberos 5
2.2 Heimdal
2.3 Active Directory
2.4 Kaserver di AFS
2.5Interoperabilità tra implementazioni
2.5.1 Il servizio 524 (leggi 5 to 4)
2.5.2 Unix e Windows un’autenticazione comune
2.5.3 Migrazione di una cella AFS a Kerberos 5
2.6 Un protocollo comune per cambiare la password
2.7 KDC in una struttura Master/Slave
A Appendice
A.1 Configurare il DNS per Kerberos
A.1.1 Il record TXT
A.1.2 Il record SRV
A.2 Autenticare e Autorizzare
A.2.1 Kerberos e NIS
A.2.2 Kerberos e LDAP
A.3 SSH in configurazione Single Sign-On (SSO)
A.3.1 Compilare openssh con supporto per Kerberos 5
A.3.2 Configurazione lato server (sshd_config)
A.3.2 Configurazione lato client (ssh_config)
A.4 Frame di autenticazione che possono autenticare con Kerberos 5
A.4.1 GSS-API (Generic Security Services Application Programming Interface)
A.4.2 SASL (Simple Authentication and Security Layer)
A.4.3 PAM (Pluggable Authentication Modules)
A.4.4 Configurare i moduli PAM su RedHat per autenticare con Kerberos 5
A.5 Altri protocolli di autenticazione
A.5.1 PAP (Password Authentication Protocol)
A.5.2 CHAP (Challenge Handshake Authentication Protocol)
A.5.3 MS-CHAP (Microsoft CHAP)
A.5.4 MS-CHAPv2 (Microsoft CHAP versione 2)