Sei sulla pagina 1di 2

L ’autenticazione in AD/DS

Kerberos

Il protocollo Kerberos è utilizzato per l’autenticazione e ha come funzione


principale quella di non trasmettere le password in rete ma di utilizzare delle
librerie sul server e sul client per generare delle chiavi di crittografia per
l’encryption della password stessa (secret shared key system).

La struttura è molto complessa è nasce appunto per permettere il processo di


autenticazione sulle reti aperte e non sicure (tipo Internet).

Le librerie sono chiamate SSP (security support provider) e oltre a quella per
Kerberos abbiamo una SSP per NTLM.

Le librerie sono caricate dal Local Security Authority (LSA) all’avvio di Windows.

Kerberos non serve solo per la’utenticazione degli utenti ma anche delle
connesioni (account computer di una rete basata su AD DS).

SSPI (Secure Service Provider Interface) decide quale libreria invocare tra i SSP
disponibili per iniziare la fase di autenticazione è quindi di autorizzazione.

AD DS KDC
Il KDC (Key Distribution Center) si attiva quando una istanza di AD DS viene
installata - serve a mantenere un database di credenziali (in realta il
database è quello di AD DS e le chiavi di crittografia sono salvate come
attributo dell’oggetto di AD DS che rappresenta l’entità, al momento della
creazione dell’oggetto corrispondente).
Questa chiave è la LTK (Long Term Key) ovvero la chiave di crittografia
conosciuta solo dal KDC e dall’entità che si deve autenticare (computer , utenti
e servizi).

Quando un utente è davanti alla finestra di “CTRL+ALT+CANC” è già


avvenuta la fase di autenticazione relativa all’account computer.

Ma vediamo per l’utente cosa avviene :

L’utente e la password inserita con l’accesso interattivo vengono lette – la


password viene passata al SSP Kerberos che genera ,con un algoritmo DES-
CBC-MD5 (con Windows Server 2k8 e Vista è supportato anche AES), una
chiave di crittografia ovvero la “session key”.

Le credenziali vanno nella cache del client.

Tale chiave è conosciuta dal KDC (poichè l’algoritmo utilizzato è lo stesso) e


quindi riesce a decifrare un eventuale pacchetto che è inviato dall’utente
tramite rete e crittografato con la session key.
il pacchetto in questione (il primo) serve per richiedere il ticket Kerberos
“TGT” ovvero il “Ticket Grating Ticket” – questo è il primo scambio che
avviene tra KDC e client,sul quale l’utente si sta loggando.
Il TGT serve perchè l’utente possa ottenere i TGS ovvero il Ticket Grating
Service che permette l’accesso alle risorse di rete (share dei vari
server,stampanti) e lo deve esibire per tale operazione.
Il TGS viene generato appena l’utente ha necessità di accedere alle risorse,ma
non significa che vi ha accesso automaticamente : questa parte viene gestita
dal “Token di autenticazione” che contiene i gruppi di AD DS a cui l’utente
appartiene, viene generato in fase di logon ed è restituito dal KDC inserito
all’interno del TGT) : il token viene confrontato con l’Access Control List delle
risorse condivise - è il concetto di autorizzazione.

I TGT e TGS hanno una scadenza e devono essere rinnovati (il timestamp ha un
rulo importante) : ecco l’importanza della sincronizzazione dell’ora in una rete
AD DS.

Il concetto dei Ticket vale anche per l’account computer che per accedere alla
rete richiede i suoi ticket – il meccanismo funziona,la password non viaggia mai
in rete e se il pacchetto è intercettato non è facile decifrarlo (lo scambio dei
ticket che qui è semplifcato è invece più corposo - le informazioni contenute
sono diverse e le chiavi di crittografia coinvolte variano a seconda del layer sul
quale l’utenticazione sta viaggiando).

Per tornare a noi, se utilizziamo SMART CARD e Lettori Biometrici non


facciamo altro che aggiugere altri algoritmi di crittografia (CSP ovvero
Cryptographic Service Provider) – do per scontato che i client della tua rete
siano Vista e superiori.

Infatti il supporto per questo tipo di sistemi (Smart card e lettori biometrici) è
stato migliorato e la fase di login utenteè stata riscritta dal Team MICROSOFT
responsabile dell’autenticazione (GINA è stata sostituita da LogonUi che
intercetta le credenziali e le passa al SSP di Kerberos).

Naturalmente con il lettore biometrico avrai dei driver e librerie del produttore
che interagiscono con Windows per gestire l’autenticazione.

Inserisci dei layer in più ma il meccanismo in linea di massima è questo.