> Tech > Vision d’avenir

Vision d’avenir

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

Microsoft a amélioré le processus d'authentification de Windows 2000 grâce à la mise en oeuvre de Kerberos. Grâce à ses bases de cryptographie symétrique, Kerberos est un protocole d'authentification orienté LAN et intranet typique. Toutefois l'introduction de PKINIT est une première étape vers une augmentation de l'authentification basée sur clé

publique de Kerberos et ouvre la porte à de nouvelles applications.

Types d’approbations transitives de Kerberos
Type d’approbation	Création	Caractéristiques
Approbation de racines (entre deux domaines racines de la même forêt)	Implicitement, dcpromo	Transitive, bidirectionnelle
Approbation parent-enfant (entre domaines parent-enfant de la même arborescence)	Implicitement, dcpromo	Transitive, bidirectionnelle
Raccourci ou approbation inter-liaisons (entre tous les domaines de la même forêt)	Explicitement	Transitive, mono ou bidirectionnelle
Approbation externe (entre domaines de différentes forêts)	Explicitement	Non transitive, mono ou bidirectionnelle
Approbation non Windows (entre deux KDC Kerberos, tels qu’un domaine Windows 2000 et un domaine basé sur le Kerberos du MIT)	Explicitement	Non transitive, mono ou bidirectionnelle

Examen de l’approbation transitive de Kerberos

Supposons qu’Alice se connecte à nord.fr108.soc108.com
avec son compte d’utilisateur et veut accéder à une ressource située sur
un serveur de ouest.it108.soc108.com. Les étapes suivantes vont vous faire
parcourir le cheminement du processus d’authentification Kerberos dans
une arborescence contenant cinq domaines :

Alice utilise son TGT (ticket-granting ticket) pour obtenir un ticket
de KDC1 pour le serveur de ressources du domaine ouest. KDC1 n’est pas
l’autorité pour le domaine ouest du serveur de ressources, il renvoie
donc Alice au domaine le plus proche du domaine cible avec lequel le
domaine nord a une relation d’approbation Kerberos. Ce domaine est fr.108.
le KDC2 renvoie Alice au KDC3
le KDC3 renvoie Alice au KDC4
le KDC4 renvoie Alice au KDC5.
le KDC5 est l’autorité du domaine ouest, il génère donc un ticket
pour Alice.
Alice utilise le ticket du KDC5 pour accéder au serveur de ressources.

Si vous utilisez l’utilitaire Klist du SDK de Windows
2000 pour regarder le cache du ticket sur la machine d’Alice, vous découvrez
un TGT pour chaque domaine, un ticket pour la machine d’Alice (partie
du domaine nord) et un ticket pour le serveur de ressources.

Vous pouvez réduire
ce processus d’orientation en créant une relation d’approbation explicite
(c’est-à -dire une relation raccourcie) entre les domaines nord et ouest.
Dans ce cas, Alice devra parcourir les étapes suivantes pour accéder à
la ressource localisée dans le domaine ouest.

Alice utilise son TGT pour obtenir un ticket de KDC1 pour le serveur
de ressources du domaine ouest. KDC1 n’est pas l’autorité pour le domaine
ouest du serveur de ressources, il renvoie donc Alice au domaine le
plus proche du domaine cible avec lequel le domaine nord a une relation
d’approbation Kerberos. Ce domaine est ouest.
KDC5 est l’autorité pour le domaine ouest du serveur de ressources,
il génère donc un ticket pour Alice.
Alice utilise le ticket de KDC5 pour accéder au serveur de ressources.

Si vous regardez le cache du ticket sur la machine
d’Alice après ce processus, vous ne trouvez que quatre tickets : un TGT
pour le domaine nord, un TGT pour le domaine ouest, un ticket pour la
machine d’Alice et un ticket pour le serveur de ressources. Une approbation
raccourcie réduit le trafic d’authentification entre domaines et le nombre
de tickets Kerberos émis.

Téléchargez cette ressource

Les mégatendances cybersécurité et cyber protection 2024

L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010

Découvrir tous les articles de la chaîne Tech

Les articles les plus consultés

A travers cette chaîne

A travers ITPro

Les plus consultés sur iTPro.fr

A lire aussi sur le site

Le secteur financier reste dans la ligne de mire des cyberattaquants

Plus que jamais sous le radar des cyber hackers, le secteur financier doit prendre la mesure de la menace qui plane. Logiciels malveillants, attaques DDoS, mais aussi ransomwares, applications Cloud … Voilà pourquoi il lui faut redoubler de vigilance.

La Revue du Décideur IT

KYOCERA Document Solutions France renouvelle son engagement auprès de France Judo

Partenariat renouvelé entre KYOCERA Document Solutions France et la Fédération Française de Judo, Jujitsu, Kendo et disciplines associées (France Judo).