Giới thiệu về Kerberos

Tiêu chuẩn

Giới thiệu về Kerberos

Kerberos là gì?

Kerberos là phương thức chứng thực và cấp phép cho người dùng sử dụng dịch vụ trong Windows trong server nằm trông domain. Được tích hợp từ Window 2012.

Kerberos là tên của Chó Ba đầu canh dữ của địa ngục trong thần thoại Hy Lạp

https://vi.wikipedia.org/wiki/Cerberus 

Kerberos hoạt động như thế nào?

Kerberos là một phần của Windows Domain Controller, và cung cấp 2 dịch vụ (services):

  1. The Authentication Service (AS): là dạng dịch vụ soát vé tại cổng ra vào.
  2. The Ticket-Granting Service (TGS): như nơi cung cấp vé vào cổng

Quá trình chức thực và cấp phép:

  1. Người dùng muốn yêu cầu quyền truy cấp, cần phải thương lượng (negotiate) với AS và TGS để được cấp phát Ticket to Get Tickets (TGT). Người dùng sử dụng username và password được cấp phát bởi Domain Controller.
  2. Một khi AS và TGS xác thực là người dùng hợp lệ sẽ cấp phát 1 TGT cho người dùng. TGT thông thường có hiệu lực trong 10 giờ có thể tạo mới mà không cần yêu cầu người dùng đăng nhập lại. TGT sẽ được lưu trong máy của người dùng.

Kerberos cho dịch vụ của server truy cập vào một dịch vụ server khác?

Việc này rất phổ biết trong mô hình 3-tiers. Muốn thực hiện việc này server thứ 1 cần thiết lập sự uỷ nhiệm chứng thực (Delegation of Authentication)  thay mặt người dùng để truy cập vào server thứ 2.

 

Bình luận về bài viết này