Mostrar Contenido / Índice / Búsqueda
El proceso de autenticación de Kerberos

Conocer la secuencia de eventos que ocurren durante una autenticación Kerberos puede ayudarle a determinar la causa de los problemas de autenticación.

  1. Una entidad de seguridad solicita un servicio para el que se necesita la autenticación Kerberos. Por ejemplo, un usuario inicia Reflection (un cliente Telnet) y solicita una conexión Telnet a un host llamado telnserv.com.
  2. El servidor de la aplicación (en este caso, el demonio de Telnet situado en el host) solicita la autenticación de Reflection.
  3. Reflection comprueba si Kerberos ya dispone de un vale de acceso TGT válido para esta entidad de seguridad. Si no lo posee, el cliente Reflection Kerberos solicita un TGT al centro KDC.
  4. El KDC comprueba si la entidad de seguridad y el dominio son válidos y, a continuación, envía un TGT y una clave de sesión al cliente Reflection Kerberos.
  5. El cliente Reflection Kerberos pide al usuario que introduzca una contraseña. Si coincide con la contraseña que utilizó KDC para cifrar el vale TGT y la clave de sesión, el cliente Reflection Kerberos puede descifrar el mensaje y obtener la clave de sesión. (Si la contraseña no es correcta, se mostrará un mensaje de error en la autenticación).
  6. El cliente Reflection Kerberos genera la solicitud del servicio originalmente solicitado por el usuario (una conexión Telnet con telnserv.com) y la envía al KDC. Esta solicitud contiene el vale TGT, un autenticador que comprueba la identidad de la entidad de seguridad, y el nombre del servicio que dicha entidad utilizará, todo ello cifrado en la clave de sesión.
  7. El KDC descifra el vale de acceso TGT y luego genera una nueva clave para la sesión entre la estación de trabajo y el servicio (en este caso, entre el cliente Telnet y el demonio de Telnet en telnserv.com) además de un vale de servicio para la conexión Telnet a telnserv.com, que estará cifrada junto con la clave secreta del servicio. Cifra este mensaje utilizando la clave de sesión original y la devuelve al cliente Reflection Kerberos.
  8. El cliente Reflection Kerberos utiliza la clave de sesión original para extraer el vale de servicio y descifrar la nueva clave de sesión. A continuación, devuelve el control a Reflection.
  9. Reflection presenta el vale de servicio al demonio de Telnet. El demonio de Telnet comprueba las credenciales y se autentica a sí mismo a Reflection utilizando la información que ha extraído del vale de servicio. Como el vale de servicio se cifró con la clave secreta del servicio, sólo el servicio para el que se ha generado el vale podrá descifrar dicho vale.
  10. Reflection inicia la sesión en el host (telnserv.com).