UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati Operációs Rendszerek AAA-Azonosítás Dr. Bilicki.

Slides:



Advertisements
Hasonló előadás
Kamarai prezentáció sablon
Advertisements

„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009
Hálózati és Internet ismeretek
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Erőállóképesség mérése Találjanak teszteket az irodalomban
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
A Kerberos hitelesítési protokoll
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Humánkineziológia szak
Hálózati Operációs Rendszerek
Spanning Tree Protocol
Műveletek logaritmussal
Titkosítás Digitális aláírás Szabványosított tanúsítványok
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
OSI Modell.
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Programrendszerek Fejlesztése
Hálózati Operációs Rendszerek
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Programozás II. 8. Gyakorlat Operator overloading II.
Address Resolution Protocol (ARP)
Virtuális méréstechnika MA-DAQ műszer vezérlése 1 Mingesz Róbert V
Ember László XUBUNTU Linux (ami majdnem UBUNTU) Ötödik nekifutás 192 MB RAM és 3 GB HDD erőforrásokkal.
Az e-kereskedelem (e-business)
WSDL alapismeretek A WSDL (Web Services Description Language – Web szolgáltatások leíró nyelv) egy XML-alapú nyelv a Web szolgáltatások leírására és azok.
SSL és TLS. Mi a TLS SSL – Secure Socket Layer TLS – Transport Layer Security Biztonságos transport layer a böngésző és a szerver között SSL v3.0 : Internet.
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
Exchange Server 2007 Client Access Role
szakmérnök hallgatók számára
, levelezés … kérdések - válaszok Takács Béla 2008.
Tóth Gergely, február BME-MIT Miniszimpózium, Általános célú biztonságos anonimitási architektúra Tóth Gergely Konzulensek: Hornák Zoltán.
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Az Interneten az állományok mozgatására leggyakrabban az FTP program használatos. Az FTP felhasználók általában az alábbi funkciókkal rendelkeznek: kapcsolódás.
Bemutatkozás Név: Vespi Gábor Kelt: december 27.
Mobil Internet 15. előadás: Mobilitás támogatás az IP réteg felett II./II. Nováczki Szabolcs BME Híradástechnikai Tanszék 2008/2009 II. félév.
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
1 Hernyák Zoltán Programozási Nyelvek II. Eszterházy Károly Főiskola Számítástudományi tsz.
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 5.4 Szolgáltatói Keretrendszerek Prof. Dr. Gyimóthy Tibor,
2006. Peer-to-Peer (P2P) hálózatok Távközlési és Médiainformatikai Tanszék.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Programozás II. 4. Gyakorlat Függvény paraméterek, dinamikus.
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Okostelefon köztesréteg Dr. Bilicki Vilmos Szegedi Tudományegyetem.
Iratkezelő rendszerek biztonsági megoldásai
Speciális Technológiák
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
A szolgáltatás technikájával – technológiájával kapcsolatos elemzések „EISZ Jövője” Konferencia június 22.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Adatbázis alapú rendszerek 3. Gyakorlat SSADM gyakorlás.
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Okostelefon felhő Prof. Dr. Gyimóthy Tibor Szegedi Tudományegyetem.
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 3. Átszövődő vonatkozások Dr. Bilicki Vilmos Szegedi Tudományegyetem.
WiFi biztonság WEP WPA.
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Nyilvános kulcsú titkosítás Digitális aláírás Üzenet pecsétek.
Paulik Tamás Budapesti Műszaki és Gazdaságtudományi Egyetem A Web 2.0 veszélyei és hatásai a privát szférára XLII. Hétpecsét Szakmai Fórum.
Felhasználók, felhasználócsoportok, jogosultságok.
Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Szalai Ferenc – Web Service Bricks
CONNECTRA rendszer bevezetése
Előadás másolata:

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati Operációs Rendszerek AAA-Azonosítás Dr. Bilicki Vilmos Szegedi Tudományegyetem Informatikai Tanszékcsoport Szoftverfejlesztés Tanszék

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Az előadás tartalma  AAA  TLS  NTLM  SSO  Kerberos Hálózati Operációs Rendszerek2

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS AAA  Azonosítás  Jogosultság kezelés/Hozzáférés vezérlés ■DAC - Discretionary access control ■MAC - Mandatory access control ■RBAC - Role-based access control ■Képesség alapú hozzáférés vezérlés Hálózati Operációs Rendszerek3

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 4 Biztonsági megoldások

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 5 TLS (Tranport Layer Security)  Új réteg bevezetése: ■Netscape SSL ■Microsoft PCT ■IETF TLS  Megbízhatóság, Adatvédelem, Azonosítás  Definiálja a csatorna paramétreinek egyeztetési módszerét  Viszony/Kapcsolat

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 6 TLS felosztása I.  TLS Handshake ■Session identifier ■Peer certificate ■Compression method ■Cipher spec ■Master secret ■Is resumable

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 7 TLS felosztása II.  TLS Record ■Fragmentálás ■Tömörítés ■Tartalom védelem ■Titkosítás

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 8 Kapcsolat felépítés 1.Hello üzenetcsere 2.Rejtjelezési paraméter csere 3.Bizonyítvány csere 4.Főkulcs 5.Adatcsere

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 9 NTLM  LAN manager: ■Kihívás válasz alapú –-> Név –<- Random –Enc(Passwd,név, random)-> ■A jelszavak szabad szöveges formátumban tároltak! ■Nem különbözteti meg a kis és a nagy betűket –26 karakter + speciális karakterek ■A hosszú jelszavak 7 karakteres részekre vannak osztva ■Következmény kicsi jelszótér, könnyen feltörhető –Szótár alapú támadások –Brute force támadások

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 10 NTLM V1  NTLM V1: ■Megkülönbözteti a kis és a nagy betűket ■Nincs 7 karakteres tördelés ■Szótáras támadásokra még igen érzékeny (gyenge jelszavak esetén) ■Brute Force módszerrel már nehezebb feltörni (100 2 GHz-es géppel 5.5 év a Microsoft szerint) ■A protokoll nem gondoskodik az üzenetek titkosításáról azonosításáról. (üzenet beszúrásos támadás)

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 11 NTLM V2  NTLM V2: ■128 bites kulcstér ■Kölcsönös azonosítás ■Biztonságos csatorna a kliens és a szerver között (aláírás és titkosítás) ■A csatorna titkosítása nem jelszófüggő ■Jóval nehezebb az Online Feltörés mivel az üzenetek igen változékonyak

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12 Beállítások  HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\LSA\LMCompatibilityLevel ■0 - LM & NTLM válaszok küldése ■1 - LM & NTLM – Amennyiben egyeztetve van NTLMv2 kapcsolat biztonság használata ■2 – Csak NTLM válaszok küldése ■3 - Csak NTLMv2 válaszok küldése ■4 -Csak NTLMv2 válaszok, megszakítja az LM kéréseket ■5 - Csak NTLMv2 válaszok megszakítja az LM & NTLM kéréseket  Vagy: ■Local Security: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\LAN Manager Authentication Level

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SSO, E-SSO  Single sign-on (SSO) ■Hozzáférés vezérlés ■A felhasználó egyszer lép be ■Az erőforrások hozzáférése ezután már transzparens számára ■Problémák: –Sok webhely, sok jelszó (21 account/password) –A jelszó kezelés bonyolult –Ezért egy jelszavat használ mindenhova –Jelszó menedzselők »Mac-X, GNOME, KDE, Web Böngészők ■Előnyei: –Idő megtakarítás –IT költség csökentés –Több szintű transzparens biztonság 13

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megoldások  SSO ■Kerberos alapú ■Okos kártya alapú ■OTP token (one time password) ■OpenSSO  Megosztott azonosítás, Föderatív azonosság ■OpenID ■Shibboleth ■Információ kártyák ■Liberty Allience ■WS-Federation  Szabványok ■SAML 14

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SAML  Security Assertion Markup Language  Azonosítás, Jogosultság kezelés biztonsági tartományok között  Probléma: ■Intranet megoldások ■Web Böngésző SSO?  Részei ■XML séma ■XML aláírás ■XML titkosítás  Elemei: ■ XML alapú állítások ■Protokollok ■Kötések ■Profilok 15

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SAML  Kifejezések ■Azonosítás ■Attribútum ■Engedélyezés döntés eredmény (XAML inkább) ■Pl.: X adta ki t időben S-re vonatkozóan amenniyben a C feltételek igazak  Protokol ■Hogyan van a dróton átküldve ■Legfontosabb: –Query »Authentication query »Attribute query »Authorization query  Kötés 16

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SAML 17

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS OTP token  Cél: nehezebb legy a védett erőforráshoz jogosulatlanul hozzáférni  Folyamatosan változó jelszó  Típusai ■Matematikai algoritmus mely az előző alapján gyártja a következőt (Leslie Lamport: hash lánc) ■Idő szinkronizálás alapú (speciális hw, mobil, …) ■Matematikai alapú de az újak az azonosító szerver véletlenszáma alapján generálódnak (SMS) 18

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS OpenID  Módszer arra, hogy egy azonosító egy felhasználó kezelésében van  Elosztott  A felhasználó tetszőleges OpenID szolgáltatót választhat  Szolgáltató váltásnál is megtarthatja az azonosítóját  Ajax segítségével az oldal elhagyása nélkül is azonosítható a felhasználó  Profil, … nem része a specifikációnak 19

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS OpenID  A protokol ■A felhasználó megdja az azonsítóját az erőforráshoz ■Az erőforrás felderíti az azonosító szervert és annak protokollját ■Az erőforrás átirányítja a felhasználót az azonosító szerverhez ■Az azonosító szerver azonosítja a felhasználót (az hogy hogyan az nincs megadva) ■Az azonosító szerver visszairányítja a felhasználót az erőforráshoz az azonosítás eredményével –URL, Nonce, aláírás 20

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Shibboleth  SAML alapú  Föderatív kapcsolatok felett azonosítás, jogosultság kezelés 21

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Shibboleth 22

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Információs kártyák  Egy csak a felhasználó által ismert információra alapozva azonosítja a felhasználót  Információs kártyák hordozzák ezt  Személyes  Menedzselt 23

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 24 MIT Athena project ( ) Funkciói (Fejek): Azonosítás (authentication) Hozzáférés vezérlés (access control) Naplózás (auditing) Felépítés: Kliens (Client) Szerver (Server) Jegy központ (KDC) Kerberos V5 (RFC 1510): Azonosítás Kerberos

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 25 Kerberos vs. NTLM, TLS Használhatja úgy a szimmetrikus(RFC 1510) mint az aszimmetrikus titkosítást (PKINIT) Az aszimmetrikus megoldás skálázhatóbb: A másik félnek nem kell online lennie Internetre az SSL-TLS a legalkalmasabb Az aszimmetrikus megoldás: nehezebben adminisztrálható nagyobb a számításigénye (1000x)

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 26 Kerberos vs NTLM  Gyorsabb azonosítás (pl.: a jegy tárolható, pass- trough azonosítás)  Kétoldalú azonosítás (NTLM challenge-response)  Tranzitív megbízás (nem feltétlenül kerberos megbízás)  Nyílt szabvány (RFC 1510 )  Delegálás, Azonosítás továbbítás támogatása (egy szolgáltatás egy felhasználó nevében cselkedhet, többrétegű alkalmazás)  Smart-Card használat támogatása (Kerberos PKINIT) (Védelem a billentyűzet figyelő programok ellen)

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 27 Kerberos Működési Elv 1.A Kerberos azonosítás a szimmetrikus titkosításon alapul 2.Kulcs elosztás 3.Kerberosz jegy 4.A jegy kiosztása 5.Az egyed fő kulcs használatának korlátozása

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 28 A Kerberos azonosítás a szimmetrikus titkosításon alapul  D K (E K (M)) = M;  Hasonló megoldás van NTLM esetén is: ■Ha a közös kulccsal van titkosítva akkor a másik fél hiteles  Titkosított Csomag: ■Azonosító (authenticator) mindig mást kell titkositania  Közös titkos kulcs: ■Viszony Kulcs (session key)  Kritikus elem: ■Időbélyeg (Time Stamp) kisebb a kulönbség mint 5 perc, sorrend figyelés  Kölcsönös azonosítás: ■A szerver is megteszi ugyanezt

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 29 Kulcs elosztás Hogyan osztjuk ki a kulcsokat (nem csak ) emberek, … Kerberos nélkül: n (n — 1)/2 kulcs (50,000 -> 1,500,000,000) Minden kliensen Kerberos : Három entitás: Két kommunikáló fél Közvetitő fél (Key Distribution Center - KDC) Minden egyed rendelkezik egy-egy KDC-vel közös kulccsal Az Egyed Mester Kulcsa (Master Key) (pl: a felh. Jelszavából, MD5 tárolás, létrehozáskor), hosszútávú kulcs Kerberos tartományok Windows 2000: Dcpromo -> kdc szolgáltatás (minden DC írható/olvasható KDC adatbázis) Azonosító szolgáltatás Jegy Kiadó Szolgáltatás Multimaster

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 30 Kerberos jegy  Biztonságos csatorna építhető ki a segítségével  Kereberos: ■Azonosító Szolgáltatás (Authentication Service) ■Jegykiosztó Szolgáltatás (Ticket-Granting Service)  Mindenki megbízik a KDC által legyártott viszonykulcsokban (nem csak a Master Key-ben)  A viszonykulcs minősége a Windows 2000 véletlen szám generátorától függ (Nem a felh. Jelszótól !!!)  A KDC-nek kellene a viszony kulcsokat kiosztani : ■A közös kulccsal titkosítja (user, szerver) (Kerberos terminológia : jegy ticket))

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 31 Kulcs hierarchia  A biztonság növelése érdekében, a gyakran használt kulcsokat gyakrabban változtatják és erősebb kulcsokat generálnak (felh. jelszó): ■A magasabb szintű kulcsok védik az alacsonyabb szintű kulcsokat ■A magasabb szintű kulcsok hosszabb élettartamúak

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 32 Kulcs elosztás  Két megoldás lehetséges: ■Mindkét fél a szervertől kapja meg: –Az erőforrás szervernek minden kulcsot tárolnia kellene –Szinkronizációs problémák ■A szerver a kezdeményező félnek küldi el mindkét jegyet –Egyszerű azonosítás (elküldi a jegyet) –Gyors azonosítás (tárolhatja a jegyet) –Egyszerűbb terhelés elosztás (csak másik jegyet kell küldeni) –A kulcsok egy speciális memória területen tárlódnak és soha sem kerülnek ki a merevlemezre (klist.exe, kerbtray.exe ürítés )

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 33 Jegy biztosító jegyek (ticket-granting ticket )  Minden egyes viszony kulcs létrehozására a felhasználó mester kulcsát használtuk ■Könnyebben visszafejthető szótáras támadással (L0phtcrack ) ■Az első azonosítás után egy TGT-t, és egy viszony kulcsot kap a felhasználó e jegy segítségével titkosítja az üzeneteket a KDC számára ■A TGT újrahasznosítható az élettértartamán belül ■A KDC nem tartja nyilván a TGT-ket ■Gyorsabb megoldás mivel nem kell keresgélnie az adatbázisában

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 34 Kerberos működése 1.KRB_AS_REQ 2.KRB_AS_REP 3.KRB_TGS_REQ 4.KRB_TGS_REP 5.KRB_AP_REQ 6.KRB_AP_REP

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 35 Adat titkosítás  A viszony kulcs az adat: ■Aláírására ■Titkosítására használható. (CIFS) ■HKLM\System\CurrentControlSet\Services\L anManServer\Parameters –EnableSecuritySignature –RequireSecuritySignature ■HKLM\System\Current- ControlSet\Services\Rdr\Parameters ■Q161372

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 36 Bejelentkezés egy Windows 2000 szerverbe Helyi bejelentkezés (Egy tartományos modell): 1. 2.DNS keresés (_kerberos, _kpasswd ) 3.KRB_AS_REQ 4.Az Azonosító Szolgáltatás azonosítja a felhasználót majd KRB_AS_REP üzenetet küld. 5.A helyi gép egy KRB_TGS_REQ üzenetet küld. 6.A kdc KRB_TGS_REP választ küld 7.A jegyet megvizsgálja az LSA

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 37 Jegy tulajdonságok  FORWARDABLE ■A szerver szerzi be a jegyet  FORWARDED  PROXIABLE ■Kliens szerzi be a jegyet ■Tudni kell a háttérszerver adatait  PROXY  RENEWABLE ■A viszony kulcsok cserélhetőek a jegy újragenerálása nélkül –Aktuális kulcs időtartam (tipikusan egy nap) –Teljes kulcs időtartam (néhány hét)  INITIAL

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 38 Hálózati bejelentkezés 1.KRB_TGS_REQ 2.KRB_TGS_REP 3.KRB_AP_REQ 4.KRB_AP_REP

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 39 Bejelentkezés más tartományba  A felhasználó vagy az erőforrás más tartományhoz tartozik (Alice Europe, Gép NA). 1.KRB_AS_REQ és KRB_AS_REP (Europe) 2.KRB_TGS_REQ, KRB_TGS_REP 1.KRB_TGS_REQ Europe 2.Hivatkozó jegy NA irányába (compaq.com, tartományközi jelszó) 3.DNS kdc keresés compaq.com-ban 4.Hivatkozó jegy NA-ra 5.KDC keresés NA-ban 6.TGS_REP az erőforrásra  Ez nem történik meg minden alkalommal (tárolás), a csomagok kicsik

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 40 Tartományok közötti kapcsolat  Tartományi megbízott fiókok ■A tartomány közti azonosítást a speciális megbízó (principal) fiókot tárol a másik tartományról ■Tartomány közti kulcsok (inter-realm key) ■A kulcs a jelszóból származik mely megfelelő időközönként cserélődik ■Valós megbízotti kapcsolat: –Közös titkos kulcs (dcpromo)  krbtgt fiók: ■Az ő jelszava lesz a Master Key ■A jelszó menetrend szerint váltakozik  Jelentős DC használat (principal, tartomány)

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 41 Azonosítás delegálása

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 42 Smart card belépés  PKINIT  CA használat  Menet: ■PA-PK-AS-REQ ■…

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Az előadás tartalma  AAA  TLS  NTLM  SSO  Kerberos Hálózati Operációs Rendszerek43