| SUSE Linux Enterprise Desktop dokument�ci� V. r�sz - Biztons�g�/�41. fejezet - H�l�zati hiteles�t�s – Kerberos | ||||
|---|---|---|---|---|
 | 40.7. X hiteles�t�si �s tov�bb�t�si mechanizmusok | 41.2. Hogyan műk�dik a Kerberos |  | |
| SUSE Linux Enterprise Desktop dokument�ci� V. r�sz - Biztons�g�/�41. fejezet - H�l�zati hiteles�t�s – Kerberos | ||||
|---|---|---|---|---|
| 40.7. X hiteles�t�si �s tov�bb�t�si mechanizmusok | 41.2. Hogyan műk�dik a Kerberos | | |
Tartalomjegyz�k
Egy ny�lt h�l�zat nem biztos�t a szok�sos jelszavas hiteles�t�sen k�v�l olyan szolg�ltat�sokat, amelyekkel a munka�llom�sok egy�rtelműen azonos�thatj�k a felhaszn�l�kat. �ltal�ban a felhaszn�l�nak minden, a h�l�zaton el�rhető szolg�ltat�shoz k�l�n hiteles�tenie kell mag�t, jelsz� haszn�lat�val. A Kerberos egy olyan hiteles�t�si megold�st biztos�t, amely seg�ts�g�vel a felhaszn�l�nak csak egyszer kell regisztr�lnia mag�t �s ezek ut�n a h�l�zati munkamenet teljes ideje alatt megb�zhat�v� v�lik. A biztons�gos h�l�zat el�r�s�hez az al�bbi k�vetelm�nyek sz�ks�gesek:
Minden felhaszn�l�nak bizony�tania kell szem�lyazonoss�g�t, mielőtt egy szolg�ltat�st el�r, tov�bb� biztos�tani kell, hogy senki se f�rhessen hozz� m�s felhaszn�l�k azonos�t�j�hoz.
Gondoskodni kell arr�l is, hogy a h�l�zati kiszolg�l�k szint�n igazolj�k azonoss�gukat, hiszen ellenkező esetben egy t�mad� �rt�kes inform�ci�kat szerezhet a kiszolg�l� megszem�lyes�t�s�vel. Ezt a megold�st k�lcs�n�s hiteles�t�snek nevezz�k, mivel nemcsak a kliens hiteles�ti mag�t a kiszolg�l� fel�, hanem a kiszolg�l� is a kliens fel�.
A Kerberos a fenti elv�r�sok megval�s�t�s�t erősen titkos�tott hiteles�t�s alkalmaz�s�val seg�t el�rni. A k�vetkezőkben bemutatjuk, hogyan is t�rt�nik mindez. Csak a Kerberos alapjait t�rgyaljuk; a r�szletes technikai utas�t�sok a Kerberos szoftver dokument�ci�j�ban tal�lhat�k.
A k�vetkezőkben �sszefoglaljuk a legfontosabb Kerberos-fogalmakat.
A felhaszn�l�knak vagy a klienseknek valamilyen igazolv�nyt kell felmutatniuk, hogy hozz�f�rjenek a k�rt szolg�ltat�shoz. A Kerberos k�t t�pus� igazolv�nyt ismer: jegyet �s hiteles�tőt.
A jegy egy kiszolg�l� alap� igazolv�ny, amelyet a kliens a szolg�ltat�st futtat� kiszolg�l�hoz val� csatlakoz�skor haszn�l. Tartalmazza a kiszolg�l� �s a kliens nev�t, a kliens internetes c�m�t, egy időb�lyeget, az �letciklust �s egy v�letlenszerűen gener�lt kapcsolati kulcsot (session key). Az �sszes adat titkos�tva van a kiszolg�l� kulcs�val.
A jeggyel egy�tt haszn�lva a hiteles�tő biztos�tja, hogy a kliens val�ban az, akinek mondja mag�t. A hiteles�tő egy, a kliens nev�ből, IP-c�m�ből �s a munka�llom�s aktu�lis idej�ből �p�l fel, amely adatok titkos�t�sra ker�lnek a kapcsolati kulccsal. Ezt a kulcsot csak a munk�llom�s �s a szolg�ltat�st ny�jt� kiszolg�l� ismeri. Egy hiteles�tő csak egyszer haszn�lhat� – szemben a jeggyel. A hiteles�tőt a kliens k�sz�ti.
A Kerberos alany egy egyedi azonos�t� (felhaszn�l� vagy szolg�ltat�s), amelyhez jegy rendelhető. Az alany a k�vetkező komponensekből �ll:
Primary – az alany első r�sze, amely felhaszn�l� eset�n megegyezhet a felhaszn�l�n�vvel.
Instance – elhagyhat�, a "primary" mezőt jellemző adatok. Ez a sz�veg a / karakterrel ker�l elv�laszt�sra a "primary" mezőtől.
Realm – itt adhat� meg a "realm" (tartom�ny) �rt�ke, amely �ltal�ban a ___domain neve, nagybetűs karakterekkel.
A Kerberos garant�lja, hogy a kliens �s a kiszolg�l� egyar�nt megbizonyosodhasson a m�sik azonoss�g�r�l. K�z�s kapcsolati kulcson osztoznak, �s ezt haszn�lj�k a titkos�tott kommunik�ci�ra.
A kapcsolati kulcsok a Kerberos �ltal elő�ll�tott ideiglenes priv�t kulcsok. Ezeket a kliens ismeri �s ezekkel titkos�tja a kiszolg�l� �s a munka�llom�s k�z�tti kommunik�ci�t a jegy k�r�s�nek �s meg�rkez�s�nek folyamata alatt.
Szinte az �sszes h�l�zati csomag lehallgathat�, ellophat� �s �jrak�ldhető. A Kerberos eset�n ez k�l�n�sen vesz�lyes lehet, hiszen a t�mad� megszerezheti a szolg�ltat�sk�r�st, amely tartalamazza a jegyet �s a hiteles�tőt. Ezek ut�n �jrak�ldheti (megism�telheti) a k�r�st, hogy �nt megszem�lyes�tse. Azonban a Kerberos n�h�ny elj�r�ssal k�pes a probl�ma kezel�s�re.
A szolg�ltat�s egy megadott feladat v�grehajt�sa, m�g a folyamatot a kiszolg�l� hajtja v�gre.
