Microsoft a amélioré le processus d'authentification de Windows 2000 grâce à la
mise en oeuvre de Kerberos. Grâce à ses bases de cryptographie symétrique, Kerberos
est un protocole d'authentification orienté LAN et intranet typique. Toutefois
l'introduction de PKINIT est une première étape vers une augmentation de l'authentification
basée sur clé
publique de Kerberos et ouvre la porte à de nouvelles applications.
Types d’approbations transitives de Kerberos |
Type d’approbation
|
Création |
Caractéristiques
|
Approbation
de racines (entre deux domaines racines de la même forêt) |
Implicitement, dcpromo |
Transitive, bidirectionnelle |
Approbation
parent-enfant (entre domaines parent-enfant de la même arborescence) |
Implicitement, dcpromo |
Transitive, bidirectionnelle |
Raccourci
ou approbation inter-liaisons (entre tous les domaines de la même forêt) |
Explicitement |
Transitive, mono ou bidirectionnelle |
Approbation
externe (entre domaines de différentes forêts) |
Explicitement |
Non transitive, mono ou bidirectionnelle |
Approbation
non Windows (entre deux KDC Kerberos, tels qu’un domaine Windows 2000 et
un domaine basé sur le Kerberos du MIT) |
Explicitement |
Non transitive, mono ou bidirectionnelle |
Examen de l’approbation transitive de Kerberos
Supposons qu’Alice se connecte à nord.fr108.soc108.com
avec son compte d’utilisateur et veut accéder à une ressource située sur
un serveur de ouest.it108.soc108.com. Les étapes suivantes vont vous faire
parcourir le cheminement du processus d’authentification Kerberos dans
une arborescence contenant cinq domaines :
- Alice utilise son TGT (ticket-granting ticket) pour obtenir un ticket
de KDC1 pour le serveur de ressources du domaine ouest. KDC1 n’est pas
l’autorité pour le domaine ouest du serveur de ressources, il renvoie
donc Alice au domaine le plus proche du domaine cible avec lequel le
domaine nord a une relation d’approbation Kerberos. Ce domaine est fr.108.
- le KDC2 renvoie Alice au KDC3
- le KDC3 renvoie Alice au KDC4
- le KDC4 renvoie Alice au KDC5.
- le KDC5 est l’autorité du domaine ouest, il génère donc un ticket
pour Alice.
- Alice utilise le ticket du KDC5 pour accéder au serveur de ressources.
Si vous utilisez l’utilitaire Klist du SDK de Windows
2000 pour regarder le cache du ticket sur la machine d’Alice, vous découvrez
un TGT pour chaque domaine, un ticket pour la machine d’Alice (partie
du domaine nord) et un ticket pour le serveur de ressources.
Vous pouvez réduire
ce processus d’orientation en créant une relation d’approbation explicite
(c’est-à -dire une relation raccourcie) entre les domaines nord et ouest.
Dans ce cas, Alice devra parcourir les étapes suivantes pour accéder à
la ressource localisée dans le domaine ouest.
- Alice utilise son TGT pour obtenir un ticket de KDC1 pour le serveur
de ressources du domaine ouest. KDC1 n’est pas l’autorité pour le domaine
ouest du serveur de ressources, il renvoie donc Alice au domaine le
plus proche du domaine cible avec lequel le domaine nord a une relation
d’approbation Kerberos. Ce domaine est ouest.
- KDC5 est l’autorité pour le domaine ouest du serveur de ressources,
il génère donc un ticket pour Alice.
- Alice utilise le ticket de KDC5 pour accéder au serveur de ressources.
Si vous regardez le cache du ticket sur la machine
d’Alice après ce processus, vous ne trouvez que quatre tickets : un TGT
pour le domaine nord, un TGT pour le domaine ouest, un ticket pour la
machine d’Alice et un ticket pour le serveur de ressources. Une approbation
raccourcie réduit le trafic d’authentification entre domaines et le nombre
de tickets Kerberos émis.
|
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure,
vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la
synthèse des conseils et recommandations à appliquer dans votre organisation.