Kerberos - Définition

Similarité

Le fonctionnement de Kerberos est calqué sur ce que pratiquent les ouvreuses des théâtres et anciennement des cinémas :

• au moment d'accéder à la séance de cinéma, le client paye son ticket qui l'identifie.
• au point d'accès de la salle, l'ouvreuse déchire le ticket en deux, conserve une partie et laisse l'autre au client.
• en cas de contrôle, on constate si les deux morceaux du ticket se recollent.
• la durée de vie du ticket est limité à une séance.

Sécurité

Une fois qu'un client s'est identifié, celui-ci obtient un ticket (généralement, un fichier texte - mais son contenu peut aussi être stocké dans une zone de mémoire sécurisée). Le ticket joue le rôle d'une carte d'identité à péremption assez courte, huit heures généralement. Si nécessaire, celui-ci peut être annulé prématurément. Sous les systèmes Kerberos comme celui du MIT, ou de Heimdal, cette procédure est généralement appelée via la commande « kdestroy ».

La sécurité de Kerberos repose sur la sécurité des différentes machines qu'il utilise. Une attaque sur le serveur de clés serait dramatique car elle pourrait permettre à l'attaquant de s'emparer des clés privées des clients et donc de se faire passer pour eux. Un autre problème qui pourrait survenir sur la machine du client est le vol des tickets. Ils pourraient être utilisés par une tierce personne pour accéder aux services offerts par les serveurs (si la clé entre le client et le serveur est connue).

L'expiration du ticket permet de limiter les problèmes liés au vol des tickets. De plus, un ticket peut contenir l'adresse IP du client et le ticket n'est alors valable que s'il est employé depuis cette IP (ce champ est toutefois optionnel dans Kerberos, qui peut tout à fait être utilisé sur un réseau attribuant dynamiquement les IP au travers de DHCP). Une attaque sur les identifiants échouera car Kerberos leur ajoute un élément. Cela évite les attaques par renvoi d'identifiants qui auraient été interceptés. Les serveurs conservent l'historique des communications précédentes et peuvent facilement détecter un envoi frauduleux.

L'avantage de Kerberos est de limiter le nombre d'identifiants et de pouvoir travailler sur un réseau non-sécurisé. Les identifications sont uniquement nécessaires pour l'obtention de nouveaux tickets d'accès au TGS.

Actuellement, deux implémentations de Kerberos version 5 existent pour OpenLDAP :

• MIT krb5
• Heimdal

Utilisations

L'identification Kerberos (ou GSSAPI) peut être utilisée par ces protocoles/applications :

• Apache
• Eudora
• FileZilla
• Mac OS X (10.2 et suivants)
• Microsoft Windows (2000 et suivant) l'utilise comme protocole d'authentification par défaut
• NFS
• Openfire utilisé conjoitement avec Spark
• OpenSSH
• PAM
• Samba
• SOCKS