Le système de tickets de Kerberos

sur le chiffrement
de clés symétriques.

Par exemple, supposons qu’Alice et Bernard partagent une clé de session qu’ils
veulent utiliser pour l’authentification. Pour s’authentifier vis-à -vis de Bernard,
Alice utilise la clé de session pour chiffrer son nom et l’horodatage courant
et envoie le résultat à  Bernard. (Dans la terminologie de Kerberos ce paquet chiffré
s’appelle l’authentificateur). Bernard utilise la clé de session, que seuls connaissent
Alice et Bernard, pour déchiffrer le paquet.
Si le déchiffrage donne le nom d’Alice et un horodatage acceptable, Bernard sait
que seule Alice a pu envoyer le paquet. Kerberos utilise les tickets pour garantir
que l’échange des clés de session est sécurisé.Kerberos génère toutes les clés
de session dans le KDC. Le KDC crée également les tickets associés et les envoie
au client et au serveur de ressources via le client. (Le serveur de ressources
est la machine hébergeant la ressource à  laquelle l’utilisateur veut accéder).

Un ticket est une version chiffrée de la clé de session que seuls le serveur de
ressources et un contrôleur de domaine Windows 2000 peuvent déchiffrer. Le KDC
envoie tous les tickets via le client, qui peut donc les mettre en mémoire cache
et les réutiliser. (Le client stocke les tickets dans une zone spéciale de la
mémoire que le système ne charge jamais sur le disque).

Mais les tickets ont une période de renouvellement et une durée de vie limitée.
Pendant la période de renouvellement, le KDC renouvelle le ticket de façon transparente.
Si celle-ci vient à  expiration, les utilisateurs doivent réexécuter la séquence
d’ouverture de session.Lorsqu’un serveur de ressources obtient un ticket et un
authentificateur du client, il dispose d’informations suffisantes pour authentifier
le client. NT 4.0 exige du serveur qu’il contacte un contrôleur de domaine pour
valider la demande d’authentification d’un utilisateur mais, grâce à  Kerberos,
Windows 2000 ne nécessite pas ce type d’authentification. Le système des tickets
accélère le processus d’authentification, mais augmente aussi la charge de travail
sur le client.Le système de tickets de Kerberos utilise deux types de tickets
de base : les “ tickets accordant un ticket ” (en anglais ticket-granting ticket
ou TGT) et les tickets de services ou de ressources.
Lorsqu’un utilisateur utilise son mot de passe (ou sa clé principale dans la terminologie
Kerberos) pour se connecter à  un domaine Windows 2000, le service KDC du contrôleur
de domaine génère un TGT et l’envoie à  l’utilisateur. Les TGT sécurisent le transport
de la clé de session utilisée par le KDC pour authentifier l’utilisateur. Les
TGT de Kerberos et la clé de session associée réduisent l’utilisation des mots
de passe des utilisateurs pour l’authentification, et, par conséquent, la possibilité
d’attaques par la force sur les paquets chiffrés avec les mots de passe des utilisateurs.

A l’ouverture de session et à  chaque renouvellement du TGT, les utilisateurs utilisent
leur mot de passe pour s’authentifier vis-à -vis du KDC. Dans les demandes de tickets
ultérieures, les utilisateurs utilisent leur clé de session, contenue dans leur
TGT, pour s’authentifier vis-à -vis du KDC. Par conséquent, si un utilisateur change
de mot de passe pendant une session, il doit entrer de nouveau son identifiant
d’utilisateur et son mot de passe pour obtenir un nouveau TGT.

Pour s’authentifier vis-à -vis d’un serveur de ressources, les utilisateurs ont
besoin d’une autre clé de session. Kerberos utilise un ticket de services ou de
ressources pour sécuriser le transport de cette clé de session. Pour obtenir un
ticket de service du KDC, les utilisateurs utilisent leur TGT mis en mémoire cache.
Lorsqu’un utilisateur possède un TGT et un authentificateur, le KDC sait qu’il
a déjà  été authentifié par le contrôleur de domaine et lui permet donc d’obtenir
un ticket de service.Le SDK (kit de développement logiciel) de Windows 2000 comprend
Klist, un outil qui permet de visualiser les tickets de Kerberos mis en mémoire
cache par la machine locale et énumère les propriétés des tickets, comme sur l’écran
1.

De plus, avec un GPO (Group Policy Object) Windows 2000 il est possible de définir
la durée de vie du TGT d’un utilisateur, celle de son ticket de service et la
période de renouvellement maximale, comme le montre l’écran 2. Les paramètres
par défaut sont 30 jours pour un TGT, 29 jours pour un ticket de service et 60
jours pour le renouvellement. Les paramètres de durée de vie du TGT des utilisateurs
doivent être supérieurs à  la valeur de la durée de vie de leurs tickets de service
et ceux de la période de renouvellement maximale doivent être supérieurs aux valeurs
de la durée de vie cumulée du TGT et du ticket de service.

Dans le même dossier GPO, il est également possible de définir l’écart toléré
par un serveur de ressources entre l’horodatage d’un ticket et l’heure de sa réception
par le serveur de ressources. Kerberos utilise les horodatages pour la protection
contre les attaques de relecture, une valeur élevée est donc plus risquée.Microsoft
inclut les droits Windows 2000 d’un utilisateur dans la zone de données de privilèges,
baptisée Privilege Attribute Certificat (PAC), ou certificat d’attribution de
privilège. Dans Windows 2000 le KDC ajoute les données du PAC à  un ticket. Les
demandes et les renouvellements de tickets héritent de ces données. Mais le KDC
ne les rafraîchit pas lorsqu’un utilisateur demande un nouveau ticket. C’est pourquoi
si les appartenances aux groupes d’un utilisateur changent pendant une connexion,
l’utilisateur doit de nouveau ouvrir la session et la refermer pour recevoir un
nouveau ticket.