Red Hat Linux 7.1: Official Red Hat Linux Reference Guide | ||
---|---|---|
Indietro | Capitolo 9. Kerberos 5 su Red Hat Linux | Avanti |
Su una rete "tradizionale" in cui l'autenticazione degli utenti avviene tramite password, ogni volta che un utente deve essere autenticato per accedere a un servizio, è necessario digitare la password, che viene inviata in chiaro via rete e viene così autorizzato l'accesso al servizio di rete.
Come già sottolineato in precedenza, il problema principale risolto da Kerberos riguarda l'uso delle password per autenticare l'utente senza la necessità di inviarle via rete. Il database di Kerberos contiene le chiavi per tutti i servizi di rete.
Quando un utente si collega alla propria workstation collegata a una rete Kerberos, il suo principal viene inviato al KDC sotto forma di richiesta TGT. Questa richiesta può essere inviata dal programma di login (in modo trasparente) o dal programma kinit una volta che l'utente si è collegato.
Il KDC controlla il principal nel suo database. Se viene trovato, crea un TGT, lo cifra usando la chiave dell'utente e lo invia come risposta.
Il programma di login o kinit decifra il TGT utilizzando la chiave dell'utente. Il TGT, che scade dopo un periodo predefinito, viene immagazzinato nella cache delle credenziali. Per ogni TGT viene impostato un tempo limite di utilizzo per migliorare il livello di sicurezza. Di solito questo limite è di otto ore.
Quando un utente deve accedere a un servizio di rete, il client utilizza il TGT per richiedere un ticket per il servizio al Ticket Granting Service (TGS), in esecuzione sul KDC. Il TGS rilascia un ticket che viene usato per autenticare l'utente.
Probabilmente vi sarete resi conto che la spiegazione riportata sopra è stata semplificata. Se desiderate approfondire l'argomento, consultate la la sezione Risorse aggiuntive
Nota Bene | |
---|---|
Kerberos dipende da alcuni servizi di rete per poter funzionare correttamente. Prima di tutto è necessario che gli orologi dei vari calcolatori siano sincronizzati. Inoltre alcuni aspetti di Kerberos si basano sul servizio DNS (Domain Name Service), perciò accertatevi che il DNS sia configurato in modo corretto. Per maggiori informazioni, potete consultare la Kerberos V5 System Administrator's Guide presente nella directory /usr/share/doc/krb5-server-<numeroversione> nei formati HTML e PostScript. |