Kerberos ist ein Authentifizierungsprotokoll Dienst, mit dem Netzwerk-Ressourcen vor unbefugtem Zugriff auf Microsoft Client /Server -basierten Netzwerken , wie sie mithilfe von Microsoft Windows 2003 Server zu schützen. Kerberos schützt Ressourcen wie Dateien und Datenbanken auf Netzwerk-Servern , indem sichergestellt wird , dass nur Kunden, die erfolgreich haben sich an dem Netzwerk angemeldet können diese Dienste zugreifen gespeichert. Kerberos ermöglicht Zugriff auf Ressourcen nur für Kunden mit Konten in einem Netznutzer und Computer-Account -Datenbank aufgeführt , wie Active Directory , von Windows 2003 Server verwendet. Antrag auf Erteilung einer Ticket Ticket

Ein Client-Computer in einem Netzwerk , wie ein Desktop-Computer mit Windows XP oder Windows 7, müssen möglicherweise eine Ressource , z. B. eine Datei zugreifen , gespeichert auf einem Netzwerk Data Storage Server . Der Client sendet eine digitale Anforderung an den Server , die es im Netzwerk authentifiziert während der Anmeldung . Der Antrag fordert die Authentifizierungs-Server , um die Anmeldeinformationen des Clients im Active Directory zu überprüfen und erstellen Sie eine die Zertifikate der Client müssen präsentieren den Zugang zu den Netzwerk-Ressourcen anfordern wird . Der Active Directory-Server erstellt eine verschlüsselte digitale Zertifikat , das eine Session Key (SK) , und ein Ticket Granting Ticket (TGT) , die ihm zurück zu dem Client-Computer .
Ticket Gewährung Server

Der Client entschlüsselt den Session Key andt erstellt ein digitales Authenticator zu einem Ticket Gewährung Server senden. Der Authenticator enthält den Client-Namen , und seine Internet-Protokoll (IP) -Adresse , sowie einen Zeitstempel. Das Ticket Gewährung Server ist ein Netzwerk- Server, der die Kerberos -Sicherheitsdienst. Auf einem Windows -basierten Client /Server-Netzwerk , ist dies in der Regel der Server mit der Active Directory-Authentifizierung Service.

Der Client sendet dem Authenticator es erstellt wurde, zusammen mit dem TGT es aus dem Active Directory -Server empfangen , auf die Gewährung Ticket Server . Das Ticket Gewährung Server verwendet den Authenticator und das TGT , um eine neue SK erstellen. Es schafft auch ein digitales Zertifikat als Target Server Ticket bekannt , mit Anmeldeinformationen, die der Kunde braucht , um die Datei auf dem Ziel- Server gespeichert zugreifen. Die neue Target Server Ticket enthält den Client-Namen und IP -Adresse und eine Ziel- Server Ticket Ablaufzeit , zzgl. des Zielservers Sicherheitsschlüssel und den Namen der Ziel-Server . Das neue SK und dem Zielserver Ticket sind verschlüsselt und zurück an den Client gesendet.
Target Server Authentication

Der Client sendet die neue SK und dem Ziel Server Ticket an den Server, der die Datei, die der Client zugreifen möchte . Der Zielserver die Anfrage akzeptiert , da die Anforderung enthält die Ziel-Servers Sicherheitsschlüssel . Der Zielserver entschlüsselt den Zielserver Ticket und überprüft die SK -Client-Authentifizierung Informationen , die Client-IP -Adresse und den Zeitstempel . Da die meisten Netzwerk Zugriffsanfragen Zwei-Wege- Kommunikation zwischen dem Client und dem Server Hosting-Ressourcen benötigen , verwendet der Zielserver die SK um eine Nachricht zu erzeugen , einschließlich der Zeitstempel , um eins erhöht , und nutzt die SK Schlüssel , um diese Nachricht zu verschlüsseln, die es zurück an den Client sendet , um zu beweisen , dass es der Server , dass der Client für die Kommunikation mit will.
Resource Access

der Zielserver ist jetzt überzeugt, dass die Client-Server hat das Recht, eine Kommunikations-Session zu etablieren , und der Kunde ist zufrieden, dass der Ziel-Server die richtigen Server ist, wie der Ziel-Server erkannte die verschlüsselten digitalen Sicherheitsschlüssel , dass der Client vorgestellt. Client und Server beide teilen die SK um eine Kommunikations-Session zu etablieren.

Dies bedeutet nicht, dass der Client die Datei auf dem Ziel-Server gespeichert sind, zugreifen . Kerberos ermöglicht die sichere Kommunikation nur zwischen Computern. Die Dateien werden durch ihre eigenen individuellen Ressourcen Zugriffsberechtigungen geschützt.