> Tech > Vision d’avenir

Vision d’avenir

Tech - Par iTPro - Publié le 24 juin 2010
email

Microsoft a amélioré le processus d'authentification de Windows 2000 grâce à  la mise en oeuvre de Kerberos. Grâce à  ses bases de cryptographie symétrique, Kerberos est un protocole d'authentification orienté LAN et intranet typique. Toutefois l'introduction de PKINIT est une première étape vers une augmentation de l'authentification basée sur clé

publique de Kerberos et ouvre la porte à  de nouvelles applications.

Types d’approbations transitives de Kerberos

Type d’approbation

Création

Caractéristiques

Approbation
de racines (entre deux domaines racines de la même forêt)
Implicitement, dcpromo Transitive, bidirectionnelle
Approbation
parent-enfant (entre domaines parent-enfant de la même arborescence)
Implicitement, dcpromo Transitive, bidirectionnelle
Raccourci
ou approbation inter-liaisons (entre tous les domaines de la même forêt)
Explicitement Transitive, mono ou bidirectionnelle
Approbation
externe (entre domaines de différentes forêts)
Explicitement Non transitive, mono ou bidirectionnelle
Approbation
non Windows (entre deux KDC Kerberos, tels qu’un domaine Windows 2000 et
un domaine basé sur le Kerberos du MIT)
Explicitement Non transitive, mono ou bidirectionnelle

Examen de l’approbation transitive de Kerberos

Supposons qu’Alice se connecte à  nord.fr108.soc108.com
avec son compte d’utilisateur et veut accéder à  une ressource située sur
un serveur de ouest.it108.soc108.com. Les étapes suivantes vont vous faire
parcourir le cheminement du processus d’authentification Kerberos dans
une arborescence contenant cinq domaines :

  1. Alice utilise son TGT (ticket-granting ticket) pour obtenir un ticket
    de KDC1 pour le serveur de ressources du domaine ouest. KDC1 n’est pas
    l’autorité pour le domaine ouest du serveur de ressources, il renvoie
    donc Alice au domaine le plus proche du domaine cible avec lequel le
    domaine nord a une relation d’approbation Kerberos. Ce domaine est fr.108.
  2. le KDC2 renvoie Alice au KDC3
  3. le KDC3 renvoie Alice au KDC4
  4. le KDC4 renvoie Alice au KDC5.
  5. le KDC5 est l’autorité du domaine ouest, il génère donc un ticket
    pour Alice.
  6. Alice utilise le ticket du KDC5 pour accéder au serveur de ressources.

Si vous utilisez l’utilitaire Klist du SDK de Windows
2000 pour regarder le cache du ticket sur la machine d’Alice, vous découvrez
un TGT pour chaque domaine, un ticket pour la machine d’Alice (partie
du domaine nord) et un ticket pour le serveur de ressources.

Vous pouvez réduire
ce processus d’orientation en créant une relation d’approbation explicite
(c’est-à -dire une relation raccourcie) entre les domaines nord et ouest.
Dans ce cas, Alice devra parcourir les étapes suivantes pour accéder à 
la ressource localisée dans le domaine ouest.

  1. Alice utilise son TGT pour obtenir un ticket de KDC1 pour le serveur
    de ressources du domaine ouest. KDC1 n’est pas l’autorité pour le domaine
    ouest du serveur de ressources, il renvoie donc Alice au domaine le
    plus proche du domaine cible avec lequel le domaine nord a une relation
    d’approbation Kerberos. Ce domaine est ouest.
  2. KDC5 est l’autorité pour le domaine ouest du serveur de ressources,
    il génère donc un ticket pour Alice.
  3. Alice utilise le ticket de KDC5 pour accéder au serveur de ressources.

Si vous regardez le cache du ticket sur la machine
d’Alice après ce processus, vous ne trouvez que quatre tickets : un TGT
pour le domaine nord, un TGT pour le domaine ouest, un ticket pour la
machine d’Alice et un ticket pour le serveur de ressources. Une approbation
raccourcie réduit le trafic d’authentification entre domaines et le nombre
de tickets Kerberos émis.

Téléchargez gratuitement cette ressource

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Guide de facturation électronique, voie royale pour le DAF et la digitalisation de la fonction finance

Ce livre blanc expose les problématiques auxquelles sont confrontés les DAF modernes et souligne les bénéfices de la facturation électronique pour la trésorerie. Il dévoile également le processus de déploiement de ce projet de transformation digitale que la réglementation rendra bientôt obligatoire.

Tech - Par iTPro - Publié le 24 juin 2010