HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG HCM KHOA CÔNG NGHỆ THÔNG TIN II Đề tài: INFORMATION SECURITY GIAO THỨC XÁC THỰC KERBEROS Giáo viên hướng dẫn: Thành viên nhóm: Nguyễn Duy Cường Thân Đồn Đăng Hải Thầy Lê Phúc 406170004 406170018 PTIT_D06THA1 Kerberos I Tổng quan II Lịch sử phát triển III Một số khái niệm IV Mô hình Kerberos V Cơ chế hoạt động VI Cài đặt Kerberos VII Kerberos VIII Securiry IX Ưu nhược điểm Kerberos X Trust Relationship 2|Giao thức xác thực Kerberos PTIT_D06THA1 I.Tổng quan:  Kerberos giao thức mật mã dùng để xác thực mạng máy tính hoạt động đường truyền khơng an tồn cơng khai từ năm 1989 Giao thức Kerberos có khả chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu Mục tiêu thiết kế giao thức nhằm vào mơ hình client - server đảm bảo nhận thực cho chiều  Tên giao thức Kerberos lấy từ tên chó ba đầu Cerberus canh gác cổng địa ngục thần thoại Hy Lạp  Các hệ điều hành Windows 2000, Windows XP Windows Server 2003 sau sử dụng phiên Kerberos làm phương pháp mặc định để xác thực  Hệ điều hành Mac OS X sử dụng Kerberos phiên Clients Server II.Lịch sử phát triển:  Học viện kỹ thuật Massachusetts (MIT) phát triển Kerberos để bảo vệ dịch vụ mạng cung cấp dự án Athena  Giao thức phát triển nhiều phiên bản, phiên từ đến dùng nội MIT  Các tác giả phiên 4, Steve Miller Clifford Neuman, xuất giao thức công chúng vào cuối thập niên 1980, mục đích họ phục vụ cho dự án Athena  Phiên 5, John Kohl Clifford Neuman thiết kế, xuất tài liệu (RFC1510) RFC 1510 - The Kerberos Network Authentication Service (V5) vào năm 1993 (được thay RFC 4120 vào năm 2005 - RFC 4120 The Kerberos Network Authentication Service (V5) với mục đích sửa lỗi phiên III.Một số khái niệm :  Realm , Principal, instance : * Realm: trường hay lĩnh vực, tương tự domain domain * Instance: phần thích bổ sung thêm * Principal: Mỗi thực thể chứa cài đặt Kerberos, bao gồm người dùng cá nhân, máy tính, dịch vụ chạy máy chủ, có principal liên kết với Mỗi principal liên kết với khố dài hạn Khóa mật hay cụm từ mật Các principal tên toàn cầu Để thực việc này, principal chia thành cấu trúc thứ bậc Mỗi principal bắt đầu với tên người dùng tên dịch vụ Tên người dùng tên dịch vụ phụ thuộc tùy vào instance khác Instance sử dụng hai tình huống: dịch vụ cho principal , để tạo principal đặc biệt cho việc sử dụng quản trị Ví dụ, quản trị viên có hai lãnh 3|Giao thức xác thực Kerberos PTIT_D06THA1 đạo: sử dụng ngày, người (một admin "chính") để sử dụng có nhu cầu đặc quyền quản trị cao Ví dụ tên người dùng tùy chọn, kết hợp với nhau, tạo thành thực thể realm định Mỗi trình ứng dụng Kerberos định nghĩa realm quản trị để kiểm sốt, điều để phân biệt với tất trình ứng dụng Kerberos khác Kerberos định nghĩa tên realm Theo quy ước, realm Kerberos có DNS domain domain chuyển đổi sang chữ hoa.Ví dụ ptit.org trở thành PTIT.ORG Ví dụ: Duy Cường sinh viên lớp IT trường PTIT có domain name ptit.org principal mà Kerberos gán cho Cườnglà: cuong@IT.PTIT.ORG Trong IT.PTIT.ORG la Realm, khơng có instance *Đối với Kerberos 4: có cấu trúc: + Username[/instance]@REALM + Service/fully-qualified-domain-name@REALM Đăng Hải sinh viên lớp IT nằm ban quản trị trường PTIT có domain name: ptit.org principal mà Kerberos gán cho Đăng Hải là: hai.admin@IT.PTIT.ORG Ví dụ ví dụ khác có thêm trường instance la admin *Đối với Kerberos 5: Trong thực tế có số trường hợp máy có tên host ma domain khác nhau.Ví dụ, bạn Đăng Hải tổ bạn Hồng Hải tổ lớp trường Ta giả sử bạn Đăng Hải thuộc domain it.ptit.org bạn Hồng Hải thuộc domain it.ptit.edu Và bạn thuộc realm la IT.PTIT.ORG Vậy Kerberos bạn có principal hai@IT.PTIT.ORG Trước thực trạng , người ta cho đời Kerberos 5, có cấu trúc : - Username[/instance]@REALM - Service/fully-qualified-domain-name@REALM Bây ví dụ ta có : + Đối với bạn Đăng Hải : hai/it.ptit.org@IT.PTIT.ORG + Đối với bạn Hồng Hải : hai/it.ptit.edu@IT.PTIT.ORG  KDC – Key Distribution Center: Trung tâm phân phối khóa Key Distribution Center cuả Kerberos(KDC), phần hệ thống Kerberos Trên lý thuyết KDC bao gồm ba thành phần: - Database tất principal khóa mã hóa để gia nhập - Anthentication Server - Ticket Granting Server Người ta thường gom chúng lại chương trình chạy process Trong realm Kerberos phải có KDC Khi nhu cầu địi hỏi chạy KDC máy bình thường, người ta khuyên nên dùng KDC 4|Giao thức xác thực Kerberos PTIT_D06THA1 riêng biệt Vì hệ thống mạng có nhiều KDC kết nối tất liệu quan trọng, bao gồm key principal realm bạn, có KDC mạng,điều có nghĩa có nhiều nguy bị cơng hơn.Ngồi ra, người dùng xác thực thành cơng đến Kerberos-kích hoạt dịch vụ, KDC phải hoạt động lúc Mỗi Key Distribution Center chứa database tất principal có realm này, bí mật liên quan Phần mềm KDC chứa hầu hết thong tin bổ sung principal database này, chẳng hạn thời gian sống mật khẩu, mật thay đổi lần cuối gì, nhiều thứ khác Windows 2000 2003 giữ sở liệu Active Directory(chứa LDAP) Trong realm chứa nhiều Kerberos KDC , database KDC phải đồng hóa để đảm bảo thống xác thực Nếu máy chủ có liệu để lâu dễ thất bại tìm cách hợp pháp để xác thực với máy chủ đó, khơng update sở liệu Kerberos Khơng có phương pháp tiêu chuẩn đồng hóa xác định giao thức Kerberos, nhà cung cấp tạo giao thức riêng họ  SS – Service Server: Máy chủ dịch vụ - mail server, File server, application server Bất kỳ Server cung cấp dịch vụ Service Server  AS-Authentication Server:Máy chủ xác thực Khi user muốn tham gia vào realm Kerberos thay user phải xác thực với KDC phải xác thực với AS Khi nhận yêu cầu tham gia hệ thống Kerberos client, AS kiểm tra nhân dạnh người yêu cầu có nằm sở liệu khơng Nếu có AS gửi gói tin sau tới người sử dụng: Gói tin A: "Khóa phiên TGS/máy khách" mật mã hóa với khóa bí mật người sử dụng Gói tin B: "Vé chấp thuận" (bao gồm danh người sử dụng (ID), địa mạng người sử dụng, thời hạn vé "Khóa phiên TGS/máy khách") mật mã hóa với khóa bí mật TGS  TGS-Ticket Granting Server:Máy chủ cấp phát vé TGS phận nhận vé chấp thuận TGT từ user.TGS có nhiệm vụ kiểm tra vé TGT có giá trị khơng cách kiểm tra xem có mã hóa key với key TGT server Kerberos khơng.Nếu gửi cho user vé dịch vụ mà user muốn sử dụng  Ticket: Vé cấp TGS máy chủ ứng dụng, cung cấp chứng thực cho máy chủ ứng dụng tài nguyên Một vé Kerberos cấu trúc liệu mã hóa KDC tạo để share key mã hóa phiên nhất.Vé tạo có mục đích : xác nhận danh tính người tham gia khởi tạo khóa ngắn hạn để bên giao tiếp an tồn (gọi la khóa phiên) Các trường mà vé Kerberos có là: Yêu cầu tên principal 5|Giao thức xác thực Kerberos PTIT_D06THA1 Dịch vụ principal có tên Khi vé có hiệu lực,khi vé hết hiệu lực(Timestamp,Lifetime) Danh sách IP mà vé dùng từ Chia sẻ khóa bí mật (session key) user/ ứng dụng truyền thong vé tạo KDC mã hóa để đảm bảo người khơng có khóa khơng mở để chỉnh sửa,như tăng lifetime lên tên định danh client principal Bởi Kerberos xác thực lần đăng nhập nên sau đăng nhập ngồi máy tham gia vào hệ thống Kerberos.Vì vậy,vé Kerberos có lifetime ngắn , khoảng từ 10-24h Điều thuận tiện cho viêc đăng nhập lần ngày làm việc user, hạn chế việc công lấy liệu quan trọng  Seasion Key: sử dụng cho seasion client server  Ticket cache: Tất vé Kerberos lưu file nằm nhớ cache gọi Credential cache Microsoft Apple lựa chọn phương án này.Khi đăng nhập vào hệ thống Kerberos vé lưu nhớ cache đăng xuất thứ xóa hết Các thông tin chứa cache gồm : user principal, vé mà user có suốt phiên đăng nhập họ.VD: $ klist Ticket cache: FILE:/tmp/krb5cc_502_auJKaJ Default principal: jgarman@WEDGIE.ORG Valid starting Expires Service principal 09/10/02 01:48:12 09/10/02 11:48:12 krbtgt/WEDGIE.ORG@WEDGIE.ORG 09/10/02 01:48:14 09/10/02 11:48:12 host/cfs.wedgie.org@WEDGIE.ORG 09/10/02 04:20:42 09/10/02 11:48:12 host/web.wedgie.org@WEDGIE.ORG Trong ví dụ này, nhớ cache cho user principal jgarman@WEDGIE.ORG lưu tập tin / tmp/krb5cc_502_auJKaJ Credential cache kết hợp với user principal thời gian, ta muốn truy cập dịch vụ với principal jgarman / admin @ WEDGIE.ORG, ta phá hủy vé tái đăng nhập để Kerberos theo jgarman / admin@WEDGIE.ORG IV.Mơ hình Kerberos tiêu biểu : Dưới mơ hình hệ thống Kerberos tiêu biểu mà thường thấy nay,bao gồm : - Client hay user Thiết bị truyền thông : router,switch,hub,… Kerberos System : AS , TGS, database Server cung cấp dịch vụ :Mail server, may in,…… 6|Giao thức xác thực Kerberos PTIT_D06THA1 V.Cơ chế hoạt động:  Hoạt động nói chung: Sau mô tả phiên giao dịch (giản lược) Kerberos Trong đó: AS = Máy chủ nhận thực (authentication server), TGS = Máy chủ cấp vé (ticket granting server), SS = Máy chủ dịch vụ (service server) Một cách vắn tắt: người sử dụng nhận thực với máy chủ nhận thực AS, sau chứng minh với máy chủ cấp vé TGS nhận thực để nhận vé, cuối chứng minh với máy chủ dịch vụ SS chấp thuận để sử dụng dịch vụ Người sử dụng nhập tên mật máy tính (máy khách) Phần mềm máy khách thực hàm băm chiều mật nhận Kết dùng làm khóa bí mật người sử dụng Phần mềm máy khách gửi gói tin (khơng mật mã hóa) tới máy chủ dịch vụ AS để yêu cầu dịch vụ Nội dung gói tin đại ý: "người dùng XYZ muốn sử dụng dịch vụ" Cần ý khố bí mật lẫn mật không gửi tới AS AS kiểm tra nhân dạnh người yêu cầu có nằm sở liệu khơng Nếu có AS gửi gói tin sau tới người sử dụng: Gói tin A: "Khóa phiên TGS/máy khách" mật mã hóa với khóa bí mật người sử dụng Gói tin B: "Vé chấp thuận" (bao gồm danh người sử dụng (ID), địa mạng người sử dụng, thời hạn vé "Khóa phiên TGS/máy khách") mật mã hóa với khóa bí mật TGS Khi nhận gói tin trên, phần mềm máy khách giải mã gói tin A để có khóa phiên với TGS (Người sử dụng giải mã gói tin B mã hóa với khóa bí mật TGS) Tại thời điểm này, người dùng 7|Giao thức xác thực Kerberos PTIT_D06THA1 nhận thực với TGS Khi yêu cầu dịch vụ, người sử dụng gửi gói tin sau tới TGS: Gói tin C: Bao gồm "Vé chấp thuận" từ gói tin B danh (ID) yêu cầu dịch vụ Gói tin D: Phần nhận thực (bao gồm danh người sử dụng thời điểm yêu cầu), mật mã hóa với "Khóa phiên TGS/máy khách" Khi nhận gói tin C D, TGS giải mã D gửi gói tin sau tới người sử dụng: Gói tin E: "Vé" (bao gồm danh người sử dụng, địa mạng người sử dụng, thời hạn sử dụng "Khóa phiên máy chủ/máy khách") mật mã hóa với khóa bí mật máy chủ cung cấp dịch vụ Gói tin F: "Khóa phiên máy chủ/máy khách" mật mã hóa với "Khóa phiên TGS/máy khách" Khi nhận gói tin E F, người sử dụng có đủ thơng tin để nhận thực với máy chủ cung cấp dịch vụ SS Máy khách gửi tới SS gói tin: Gói tin E thu từ bước trước (trong có "Khóa phiên máy chủ/máy khách" mật mã hóa với khóa bí mật SS) Gói tin G: phần nhận thực mới, bao gồm danh người sử dụng, thời điểm yêu cầu mật mã hóa với "Khóa phiên máy chủ/máy khách" SS giải mã "Vé" khóa bí mật gửi gói tin sau tới người sử dụng để xác nhận định danh khẳng định đồng ý cung cấp dịch vụ: Gói tin H: Thời điểm gói tin yêu cầu dịch vụ cộng thêm 1, mật mã hóa với "Khóa phiên máy chủ/máy khách" 10 Máy khách giải mã gói tin xác nhận kiểm tra thời gian có cập nhật xác Nếu người sử dụng tin tưởng vào máy chủ SS bắt đầu gửi yêu cầu sử dụng dịch vụ 11 Máy chủ cung cấp dịch vụ cho người sử dụng  Hoạt động dựa khảo sát gói tin :  Al -> AS: ID || TGS ID || TimeStamp1 (TS1)  AS: kiểm tra TS1, tạo Seasion key (KAl, TGS) TGT TGT: (TGS ID || Alice’s ID || Alice’s AD || KAl, TGS || (TS2) || Lifetime2 ) E(TGT, KTGS ) AS -> Al: E(TGT || TGS ID || KAl, TGS || (TS2) || Lifetime2), (KAl))  Alice: D(packet, (KAl)) Kiểm tra TS2 Lifetime2 Tạo authentication cho TGS: ATGS: E(Alice’s ID || Alice’s AD || (TS3), KAl, TGS ) Al -> TGS: TGT || ATGS || ES ID  TGS: TGT || ATGS || ES ID D(TGT, KTGS ) TGS: TGS ID || Alice’s ID || Alice’s AD || KAl, TGS || (TS2) || Lifetime2 D(ATGS , KAl, TGS ) → Alice’s ID || Alice’s AD || (TS3)  TGS kiểm tra TS3, sinh (KAl, ES), TGT tạo ES ticket E ((ES ID || KAl, ES || Alice’s ID || Alice’s AD || (TS4) || Lifetime4), KES ) TGS -> Al: (AAl) : E((ES ticket || ES ID || KAl, ES ||(TS4)), KAl, TGS )  Alice: D(AAl, KAl ) → ES ticket || ES ID || KAl, ES || (TS4) (AES) : E((Alice’s ID || Alice’s AD || (TS5) , KAl, ES ) Al -> ES: ES ticket || AES 8|Giao thức xác thực Kerberos PTIT_D06THA1  ES: D(ES ticket, KES ) → ES ID || KAl, ES || Alice’s ID || Alice’s AD || (TS4) || Lifetime4 D(AES , KAl, ES ) → Alice’s ID || Alice’s AD || (TS5) ES -> (AAl) với (TS5 + 1) mã hóa với KAl, ES  ES Alice tiếp tục trao đổi với thơng tin mã hóa KAl, ES VI Cài đặt Kerberos Các bước cài đặt Kerberos có bước sau: Kế hoạch cài đặt:  Chọn tảng hệ điều hành Việc chọn tảng hệ điều hành dành cho bạn bạn sử dụng Window domain controller hệ thống KDC Tuy nhiên bạn sử dụng UNIX KDC bạn phải xem xét tảng bạn chạy KDCs Các mối quan tâm thực lựa chọn tảng để chạy Kerberos KDCs bạn đáng tin cậy Chúng mạnh mẽ khuyến cáo đĩa riêng biệt (hoặc tốt hơn, đĩa RAID) sử dụng để lưu giữ sở liệu Kerberos, phân vùng riêng biệt sử dụng để giữ tất file log Giữ tập tin đăng nhập vào phân vùng riêng biệt  Chọn KDC package Có nhiều KDCs khác có sẵn từ nhà cung cấp khác nhau, thương mại mã nguồn mở Mỗi thực thi KDC khác nhau, với lợi bất lợi khác  MIT Chúng bắt đầu với MIT Nhiều tổ chức lớn, chủ yếu trường đại học, sử dụng MIT KDCs để xử lý xác thực MIT Kerberos có sở hỗ trợ lớn sử dụng nhiều môi trường, giúp giải lỗi hệ thống MIT Kerberos có hỗ trợ loại Kerberos mã hóa tiêu chuẩn, đáng ý DES Ngoài ra, phiên MIT Kerberos, hỗ trợ kiểu mã hóa RC4 sử dụng dịch vụ Microsoft Active Directory Kerberos (AES) MIT lựa chọn tuyệt vời hỗ trợ rộng khả tương thích ứng dụng  Heimdal Cũng MIT, có hỗ trợ đầy đủ cho Kerberos, Kerberos Có số cải tiến MIT Kerberos Trước tiên, Heimdal hỗ trợ truyền sở liệu gia tăng, cho phép Heimdal KDCs gửi phần thay đổi sở liệu máy chủ Kerberos đến máy chủ cập nhật, thay tồn sở liệu truyền cập nhật thực Ngoài ra, Heimdal tích hợp hỗ trợ cho AFS-Kerberos khả tương tác Heimdal tích hợp với số miễn phí hệ điều hành, bao gồm BSDs: OpenBSD, NetBSD, FreeBSD Heimdal lựa chọn tốt bạn lập kế hoạch sử dụng Unix KDC  Windows domain controllers Việc thực thi Kerberos có Windows 2000 sau KDC Installation Các bước thiết lập KDC MIT Heimdal  Thiết lập phân phối 9|Giao thức xác thực Kerberos PTIT_D06THA1  Tạo lãnh địa  Khởi động máy chủ  Kiểm tra  Thêm KDCs phụ Window domain controller Tạo lãnh địa: Window server 2008 Vào Start -> Run -> cmd -> gõ lệnh dcpromo Hộp thoại Welcome to the Active Directory Domain Services Installation Wizard: chọn “Use advanced mode installation” >Next Hộp thoại Choose a Deployment Configuration: chọn “Create a new domain in a new forest” > Next 10 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 Hộp thoại Active Directory Domain Services Installation Wizard: Yes Hộp thọa Location for Database Log Files, and SYSVOL: Next Hộp thoại Directory Services Restore Mode Administrator Password: Nhập pass > Next 13 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 Hộp thoại Summary: Hệ thống làm việc Finish: DNS and Kerberos Sự tham gia DNS hệ thống Kerberos cần thiết, hỗ trợ nhiều chức lãnh địa ker bạn 14 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 Kerberos sử dụng giao thức DNS địa điểm dịch vụ, cách sử dụng ghi DNS SRV định nghĩa RFC 2052 Ngồi ra, Kerberos sử dụng ghi TXT để định vị lĩnh vực thích hợp cho máy chủ cho hay tên miền Với ghi DNS, Kerberos client tìm thấy KDCs thích hợp mà khơng cần sử dụng tập tin cấu hình Windows thiết lập ghi SRV cần thiết tự động miền Active Directory tạo Những người sử dụng Unix cho KDCs họ tạo mục nhập DNS tay khu tập họ thuận tiện cho khách hàng VII.Kerberos : Qua chương V biết chế hoạt động Kerberos,ở phần xin giới thiệu thêm chức bổ sung mà Kerberos có lựa chọn sử dụng Kerberos : 1.A little changing: Không phiên trước Kerberos , Kerberos sử dụng ASN.1 (Abstract Syntax Notation One) Nó định nghĩa phương pháp để mô tả định nghĩa giao thức ký hiệu trừu tượng , sau cung cấp số phương pháp để chuyển đổi định nghĩa trừu tượng vào dòng byte để truyền mạng lưới truyền thông Một số giao thức sử dụng ASN.1 để xác định giao thức họ Kerberos 5, SNMP LDAP.Ví dụ Kerberos 5: Realm ::= GeneralString PrincipalName ::= SEQUENCE { name-type[0] INTEGER, name-string[1] SEQUENCE OF GeneralString } Chức AS TGS giữ nguyên Kerberos tên TGS thay đổi chút.Ngồi thay đổi đó, Kerberos cịn loại trừ mã hóa đơi mà xuất AS TGS KDC trả lời(so với Kerberos 4).Sự thay đổi không làm giảm tính an tồn mà ngược lại cịn cải thiện hiệu hiệu suất 3.Multichoice for encryption: Kerberos cung cấp nhiều lựa chọn cho việc mã hóa DEC , triple DEC , AES ,….Chúng ta lựa chọn cách mã hóa phù hợp cho tưng trinh trao đổi Nhưng có vấn đề đặt để thành phần hệ thống Kerberos hiểu nhau.Đối với loại message sau mà có cách riêng để mã hóa nó: *Ticket: ticket phát hành mã hóa từ server dịch vụ đó, giãi mã key server.Vì ticket mã hóa phương pháp mã hóa an tồn mà server hỗ trợ *Reply: message mà KDC gửi cho client client phải giải mã khóa mình.Vì ticket phải mã hóa phương pháp mà client hỗ trợ 15 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 *Session key: session key chia sẻ client sever ứng dụng, nên session key phải mã hóa phương pháp mà client server hỗ trợ Hệ thống Kerberos (user , server ứng dụng KDC) phải hỗ trợ phương pháp mã hóa giống để giao tiếp Khi principal tạo KDC tự lưu cho copy tất key mã hóa từ phương thức mã hóa mà hỗ trợ.Vì KDC đáp ứng nhanh 4.Ticket option: Kerberos bao gồm đặc tính tiên tiến mà cho phép user có nhiều quyền điều khiển thơng qua Kerberos vé họ : *Forwardable tickets: (thường TGT ,được dùng phổ biến) cờ TKT_FLG_FORWARDABLE bật lên ticket cho phép admin user dùng ticket để yêu cầu ticket phải khác địa IP Nói cách khác, user dùng giấy ủy nhiệm để tạo giấy ủy nhiệm có giá trị cho máy khác Ngay sau user chứng thực xong với AS,user yêu cầu TGT trước sử dụng phần mềm Kerberos Được sử dụng nhiều chương trình remote login telnet , rlogin , rsh *Renewable tickets: Kerberos lifetime ticket thường la ngắn để hạn chế việc đánh cắp vé hacker,nhưng bất tiện với user dùng dài lầu.Từ thực tế Kerberos hỗ trợ Renewable tickets Renewable tickets có hạn dùng vé thường user gia hạn lâu vé thường Khi user sở hữu ticket hạn gửi u cầu đến KDC để xin Renewable tickets với hạn sử dụng mới.Nếu thỏa hiệp ổn KDC xác nhận vé trả vé mới.Quá trình xảy lúc vé hết hạn Lợi ích :- khó lấy cắp vé hacker cầm vé hết hạn chẳng làm Sau user dùng xong vé renew user thơng báo cho KDC biết khơng cần dùng nữa,KDC từ chối yêu cầu renew vé *Postdated tickets: Khi có kế hoạch cho tương lai cần dùng đến hệ thống chứng thực Kerberos sử dụng lựa chọn Kerberos Postdated tickets Postdated tickets có giá trị thời điểm tương lai.Nếu user dùng trước bị KDC từ chối.Nó khơng dùng phổ biến 5.Kerberos 5-to-4 translation: Để cung cấp khả tương thích với dịch vụ Kerberos 4, Kerberos phát hành dịch vụ Kerberos 5-to-4 translation(krb524) Dịch vụ cung cấp cách thức để client Kerberos giao tiếp với dịch vụ Kerberos Nó khơng cung cấp cách để client Kerberos giao tiếp với dịch vụ KDC Kerberos 16 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 Khi client Kerberos muốn dùng dịch vụ mà hiểu vé Kerberos thư viện Kerberos lien lạc với thiết bị chạy krb524 daemon để cung cấp giấy ủy nhiệm phù hợp với Kerberos 4.Khi krb524 daemon nhận yêu cầu client ,nó giải mã service ticket với service key, sau giải nén session key bên tạo service ticket Kerberos với session key vừa có Chú ý: session key Kerberos thiết mã hóa single DES.Bởi krb524 daemon chép key đóng gói lại, Kerberos hiểu single DES Máy chạy krb524 daemon không thiết phải nằm KDC.Ví dụ windown domain controller khơng hỗ trợ krb524 daemon nên muốn sử dụng ta phải cài đặt máy chạy krb524 daemon riêng Pre-Authentication: Để làm khó khăn thêm khả cơng offline dictionary bruceforce Kerberos cài đặt Pre-Authentication Pre-Authentication yêu cầu người yêu cầu chứng minh danh tính họ trước KDC cấp ticket cho principal riêng biệt Có nhiều cách để thực Pre-Authentication mã hóa timestamp cách phổ biến Tùy theo sách KDC mà hệ thống có chạy Pre-Authentication hay không KDC yêu cầu Pre-Authentication ,nếu client muốn có ticket mà khơng thơng qua Pre-Authentication KDC gửi thơng báo lỗi KRB_ERROR thay gửi AS_REP đến client.Client tạo liệu cần thiết cho trinh Pre-Authentication mình, sau gửi lai AS_REQ đính kèm với phần liệu vừa tạo Nếu KDC chấp nhận KDC gửi lại AS_REP kèm theo ticket.Nếu không , KDC gửi lại KRB_ERROR client không nhận ticket String-to-Key Transformation: Chức để chuyển đổi chuỗi ký tự password dạng plaintext thành cyphertext.Điều khác so với Kerberos Kerberos hỗ trợ thuật tốn với kích thước key bất kỳ.Ngồi trước mã hóa , Kerberos thêm vào thành phần gọi salt vào password user,làm cho tăng thêm sức đề kháng với bruce-force.Salt tùy theo KDC chọn thường la tên principal Password Changing: Trước phiên người ta dùng administrative protocol cho việc thay đổi password lại gây phiền toái thiết bị xài administrative protocol khác Một tiêu chuẩn cho giao thức Kerberos thay đổi mật đề xuất dự thảo Internet năm 1998, giao thức thay đổi mật Horowitz Các phiên MIT (1,2 trở lên) Heimdal Kerberos, Windows 2000 năm 2003(dựa Active Directory) hỗ trợ giao thức thay đổi mật Horowitz Sau dự thảo thay giao thức thay đổi mật Horowitz.Đó Kerberos Set/Change Password Version 2.Protocol cung cấp khả cho quản trị viên để đặt lại mật người dùng khác, cho phép người dùng thay đổi mật họ.Thêm vào đó, cho phép gửi lại thơng tin chi tiết cho client mật bị từ chối 17 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 VIII Securiry Điều quan trọng nhận Kerberos thực mạng bạn khơng đảm bảo an ninh hồn hảo Trong Kerberos an toàn ý thức lý thuyết, có nhiều vấn đề an ninh thực tế để xem xét Ngoài ra, điều quan trọng nhớ Kerberos cung cấp dịch vụ chứng thực; khơng ngăn cản thỏa hiệp gây lỗi phần mềm máy chủ, quản trị viên cấp giấy phép cho người sử dụng trái phép, mật chọn Có nhiều đánh giá Kerberos an tồn có thể, nhiên, vấn đề an ninh cần ý Kerberos Attacks Thật dễ dàng để hacker cơng hệ thống Kerberos KDC Nhưng, có số cơng điện tử thỏa hiệp bảo mật hệ thống Kerberos bạn Liệt kê kịch thỏa hiệp tiềm năng, hiệu tính an tồn hệ thống Kerberos  Root compromise of a Kerberos KDC machine Một thỏa hiệp gốc máy chủ KDC cho phép kẻ cơng tồn quyền kiểm sốt tồn hệ thống xác thực Kerberos Mặc dù sở liệu kerberos mã hóa ổ cứng với khóa kerberos master, khóa master giữ ổ cứng KDC khơng có can thiệp tay yêu cầu (nhập password master) server KDC bắt đầu  Compromise of a Kerberos administrator's credentials: Nếu hacker lấy mật người quản trị, hacker hồn thành cơng toàn database kerberos  Root compromise of a server machine: Để giao thức Kerberos làm việc, dịch vụ phải có truy cập đến dịch vụ Các dich vụ nằm hệ thống tập tin máy chủ, nằm keytab thực thi Unix, LSA bí mật thi hành Microsoft Nếu kẻ công lấy quyền truy cập vào máy chủ, tất dịch vụ Kerberized chạy máy bị tổn hại  Root compromise of a client machine Một thỏa hiệp gốc máy client cung cấp cho kẻ công với tất vé lưu máy Khi vé có giới hạn thởi gian, khơng phải thỏa hiệp quan trọng kẻ công lấy mật người dùng Tuy nhiên, với truy cập gốc đến máy client, kẻ cơng bí mật cài đặt sniffer để nắm bắt mật người dùng đăng nhập vào máy tính họ  Compromise of user credentials Có khả kịch này: nhớ lưu vé người dùng bị lộ, mật người dùng bị thỏa hiệp Nếu hacker lấy nhớ vé chưa mã hóa, vé chứa nhớ cache mà có hiệu lực khoảng thời gian quy định vé Mặt khác, kẻ công sử dụng lại mật người dùng, kẻ công mạo danh người dùng người dùng thay đổi mật Từ danh sách trên, thực tế tảng tất kịch có tầm quan trọng việc giữ tất máy mạng bạn an toàn Cài đặt Kerberos mạng bạn không làm giảm tầm quan trọng việc giữ tất máy móc, máy tính người dùng an tồn từ công bên 18 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 ngồi Những thỏa hiệp máy mạng có số hiệu ứng bất lợi bảo mật hệ thống xác thực Kerberos bạn Other Attacks:  Denial of service  The "insider"  Social engineering and password exposure  Security holes in the Kerberos software itself 3.Vấn đề giao thức bảo mật  Dictionary and Brute-Force Attacks Trong giao thức Kerberos gốc, KDC tạo TGT mã hóa cho khách hàng có yêu cầu TGT mã hóa với khóa bí mật người dùng An ninh toàn hệ thống phụ thuộc vào việc khơng thể giải mã thơng điệp này, kẻ cơng lấy chìa khóa sử dụng để mã hóa tin nhắn, anh mật người dùng mạo danh người dùng theo ý thích Do đó, kẻ cơng muốn có mật người dùng, yêu cầu KDC cho TGT hợp lệ với tên người dùng nạn nhân Trong khơng có cách để phá vỡ phương pháp mã hóa sử dụng Kerberos vé trực tiếp, kẻ cơng sau tiếp tục brute-force giải mã TGT cách tung công từ điển ngoại tuyến Trong cơng từ điển, kẻ cơng có nguồn cấp liệu danh sách mật thường sử dụng, từ điển, với chương trình bẻ Đối với mục từ điển, chương trình cố gắng giải mã thơng điệp cách sử dụng mật Nếu đạt thực hiện, chương trình báo cáo lại cho kẻ cơng người sử dụng mật Khi chuyển đổi từ mật người dùng sang khóa mật mã biết đến, tầm thường cho kẻ cơng để xây dựng chương trình mà dịch mật thường thành khoá mật mã Kerberos Sau đó, kẻ cơng thu thập số lượng lớn TGTs hợp lệ từ KDC tiếp tục công việc bẻ TGTs off-line; với cố gắng giải mã, khơng có liên hệ với KDC Thay vào đó, TGTs yêu cầu từ KDC, không giao tiếp cần thiết để công mật Các mã hóa sử dụng Kerberos v4, loại mã hóa phổ biến Kerberos v5, DES Single DES, thiết kế vào cuối năm 1970, có chiều dài 56-bit Khi Kerberos thiết kế (trong cuối năm 1980), brute-forcing khóa 56-bit khơng thực tốc độ vi xử lý có sẵn Theo tiêu chuẩn nay, với 56-bit, khơng gian DES xem tương đối khơng an tồn Năm 1998, Electronic Frontier Foundation chứng minh với vốn đầu tư $ 200.000, kẻ cơng xác dựng " DES cracker" mà brute-force khố mật mã từ tin nhắn DES vòng ngày Với xử lí (năm 2002), thời gian để giải mã thơng điệp mã hóa cách sử dụng DES phạm vi vài Rất may, Kerberos v5, số tính giao thức giới thiệu để giảm thiểu nguy Đầu tiên hỗ trợ loại mã hóa mở rộng, cho phép việc bổ sung kỹ thuật mã hóa mạnh Ngồi ra, giai đoạn tiền xác thực bổ sung, client phải chứng thực danh tính trước KDC cung cấp vé cho client Tiền xác thực hạn chế 19 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1  vấn đề công offline brute-force, hay cơng từ điển Thay vào đó, hacker từ xa phải liên lạc với KDC hacker cố gắng tìm mật Tuy nhiên, phương pháp mã hóa Ker v5 đặc tính tiền xác thực khơng hồn tồn chống lại công từ điển hay brute-force Các phương pháp mã hóa chắn khiến cho cơng bruteforce khả thi cách gia tăng khó khăn brute-forcing tin nhắn mã hóa Tuy nhiên, tất máy chủ, client, KDCs mạng phải hỗ trợ loại mã hóa Nếu, ví dụ, bạn có nhiều client triển khai máy chủ Kerberos khác cài đặt mạng bạn (ví dụ, máy chủ MIT Kerberos với số client Windows), bạn sử dụng loại mã hóa thơng thường hỗ trợ tất máy mạng bạn MIT hỗ trợ triple DES, Windows không, để truyền thông Windows MIT Kerberos bị giới hạn lại DES Việc phát hành phiên 1,3 tới MIT Kerberos hỗ trợ thuật toán mã hóa RC4 sử dụng Windows, tăng cường mã hóa sử dụng cho truyền thơng hai thực thi Với giao thức tiền xác thực, hacker khơng cịn nhiều khả vé mã hóa theo yêu cầu từ KDC Tuy nhiên, kẻ cơng sử dụng mạng lưới "sniffer" để có KDC responses chúng gởi đến client Những responses bao gồm vé mã hóa với khóa người dùng Trong cơng trở nên khó khăn việc tăng cường độ bảo mật, vấn đề tiềm Ngồi ra, hầu hết thực thi Kerberos khơng bắt buộc sử dụng tiền xác thực mặc định, phủ định khả bảo mật tiến xác thực Replay Attacks Vì tất giao thức trao đổi tin nhắn gởi qua mạng máy tính, kẻ cơng lắng nghe tin nhắn mạng lưới trao đổi xác thực thành công, tạo tin nhắn, phát lại chúng lần sau Những kẻ công không cần phải đoán mật người dùng giải mã thông điệp công Kể từ công replay yêu cầu truy cập để nghe tất tin nhắn mạng khả gửi tin nhắn giả, công replay công chủ động Chúng thấy Alice thành công lấy vé để xác thực tới máy chủ thư cô Bob, kẻ công, bí mật nghe tất lưu lượng mạng Alice, máy chủ thư, KDC Kerberos Bob trực tiếp sử dụng TGT mà Alice yêu cầu bước trước, TGT phải giải mã với mật Alice, Bob khơng biết mật Tuy nhiên, Alice gửi vé mã hóa nhận thực, Bob chặn thư phát lại để mạo danh Alice đến máy chủ thư Vé mã hóa với khóa máy chủ thư, nhận thực mã hóa với khóa phiên chia sẻ Alice máy chủ thư Khi máy chủ thư nhận vé nhận thực, giải mã vé khóa mình, lấy khóa từ phiên giao vé, sử dụng khóa phiên để giải mã nhận thực Nếu tất việc giải mã thành cơng, xác thực thành công Kerberos thiết lập bảo vệ chống lại công replay attacks Là quản trị, bạn lo lắng kích hoạt bảo vệ này; chúng thiết lập thực thi Kerberos mà bạn sử dụng Những bảo vệ là: 20 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1  - Address field in tickets: client yêu cầu vé từ KDC, liệt kê địa mạng có vé hợp lệ Ví dụ, địa IP máy trạm 192.168.1.1, máy trạm điền địa vào trường địa vé yêu cầu, KDC chép vào vé trả lại cho máy trạm bảo vệ giải vấn đề hacker cố gắng gởi lại vé hợp lệ máy trạm không liệt kê trường địa vé Tuy nhiên, bảo vệ không đủ để ngăn chặn replay attacks; trường địa để trống, vé có giá trị cho tất địa Hoặc, kẻ cơng có quyền truy cập vào máy liệt kê trường địa chỉ, đăng nhập phát lại vé từ - Time-based authenticators: việc an ninh địa hoàn hảo, Kerberos sử dụng đề án để ngăn chặn replay attacks Mỗi khách hàng muốn sử dụng dịch vụ Kerberized, cô tạo nhận thực, gửi với vé vào dịch vụ để xác thực Nhận thực chứa timestamp, mã hóa với khóa phiên tạo KDC cho việc thực trao đổi vé Khi dịch vụ nhận nhận thực, kiểm tra dấu thời gian với đồng hồ hệ thống Nếu có chênh lệch phút, dịch vụ từ cấp bán vé từ chối xác thực người dùng Khoảng thời gian phút thiết kế cho phép vài biến đổi khác đồng hồ mạng Tuy nhiên, phút nhiều để hacker gởi lại vé hợp lệ, đặc biệt hacker sử dụng chương trình tự động để bắt phát lại vé - Replay caches: cách cuối phòng thủ mà Kerberos chống lại replay attack Replay caches Cả Kerberos v4 v5 bao gồm giao thức dựa thời gian nhận thực Kerberos v5 sử dụng nhớ replay caches để tránh kẻ công sử dụng lại vé khoảng thời gian ngắn mà nhận thực cho hợp lệ Mỗi dịch vụ Kerberized trì nhớ cache nhận thực mà vừa nhận Khi dịch vụ nhận nhận thực, kiểm tra nhớ replay caches Nếu dịch vụ tìm thấy nhận thực có nhớ cache, từ chối u cầu Nếu khơng, dịch vụ chấp nhận yêu cầu bổ sung xác thực vào nhớ replay caches cho yêu cầu hợp lệ lần sau Man-in-the-Middle Attacks Cuối cùng, man-in-the-middle ảnh hưởng đến giao thức xác minh chứng thực Man-in-the-middle cách công chủ động, nghĩa kẻ công phải có khả đọc tất tin nhắn mạng gửi thông điệp tùy ý Mục đích cơng mạo danh máy chủ, kết người dùng nghĩ kết nối với máy chủ hợp pháp, thực tế nói chuyện với kẻ cơng Một kẻ cơng có kiểm sốt phiên, dễ dàng hành động (qua tin nhắn người sử dụng máy chủ hợp pháp, mà khơng sửa đổi), sửa đổi, xóa thơng điệp người sử dụng máy chủ Những kẻ công phần đàm thoại người sử dụng máy chủ hợp pháp, sửa đổi thông điệp mà qua chúng Tin tốt lành giao thức Kerberos xây dựng bảo vệ chống lại man-in-the-middle Một Kerberos thực chứng thực 21 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 lẫn nhau, xác thực không để xác minh người dùng mà xác minh máy chủ, man in the middle bị cản trở Để chống lại công này, số chế để xác nhận khoá mật mã máy chủ phải tồn Những giao thức khác sử dụng xác minh tay, xác thực chữ kí Kerberos sử dụng tất khóa cho dịch vụ người dùng lưu KDC để đảm bảo bảo vệ chống lại MITM attack Khóa phiên tạo KDC sau gửi đến dịch vụ mã hóa với khóa dịch vụ, kẻ công phục hồi phiên làm việc mà khơng có khóa bí mật dịch vụ Một máy client sau phát xem máy chủ nói đến hợp pháp cách yêu cầu xác thực lẫn nhau, nơi mà máy chủ phải chứng minh danh tính cách khơi phục khóa phiên, mã hóa responses, gửi trở lại cho client Nếu máy chủ khơng phải hợp lệ, khơng có dịch vụ, máy chủ khơng thể gửi lại tin nhắn hợp lệ mã hóa, client ngắt kết nối Trong Kerberos cung cấp khả thực chứng thực lẫn nhau, ứng dụng phải có mã phép bảo vệ Ngồi ra, nhiều ứng dụng, chẳng hạn mơ đun PAM có sẵn để xác thực với mật Kerberos, khơng sử dụng q trình xác thực dựa vé Thay vào đó, chúng giữ mật mạng (hy vọng mật mã) xác minh bên máy chủ cách yêu cầu KDC cho TGT sau giải mã TGT Đây nơi cơng MITM gắn kết với Kerberos Trong trường hợp này, kẻ cơng muốn đặt máy chủ KDC, mà hacker làm giả máy chủ ứng dụng Các KDC requests and responses tin nhắn UDP đơn giản, thật dễ dàng để hacker đưa thông báo giả mạo mà ngụ ý đến từ địa IP thực KDC Như vậy, công thực thông qua thủ tục sau đây: - Những kẻ công tạo mật để sử dụng cho tài khoản mà chúng mong muốn truy cập vào - Những kẻ cơng sau thiết lập chương trình để lắng nghe yêu cầu mạng, để xem client yêu cầu TGT cho người sử dụng A Khi nhận TGT, chương trình gởi TGTresponses trả lại cho yêu cầu mã hóa với password chọn - Sau đó, kẻ cơng truy nhập vào server, tạo username A pass chọn Vào thời điểm đó, chương trình gửi tới máy chủ TGT mã hóa với mật mà kẻ cơng chọn thay mật thực - Nếu máy chủ nhận responses giả trước, giải mã thành cơng TGT từ mật phù hợp Để ngăn chặn công này, máy chủ phải lấy khóa dịch vụ máy chủ từ keytab, sau yêu cầu khóa dịch vụ từ KDC dùng TGT tồn đại diện cho người sử dụng Chỉ máy chủ KDC biết khóa dịch vụ máy chủ, kẻ công từ bên ngồi khơng thể tạo thơng điệp giả mạo tài khoản bị từ chối truy cập Firewall, NAT Kerberos 22 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 Vì Kerberos dựa chủ yếu vào hoạt động đắn DNS giao thức bao gồm địa IP, tường lửa NAT Phổ biến thiết lập mà máy client đặt bên tường lửa công ty, KDCs máy chủ ứng dụng nằm bên tường lửa Để client bên ngồi có vé cho lĩnh vực Kerberos, số cổng cần phải mở thông qua tường lửa đến KDCs bạn  Kerberos Network Ports Machine Local port (server) Remote port (client) Description All KDCs 88/udp 88/tcp Above 1024 Kerberos ticket service All KDCs 749/tcp Above 1024 Kerberos administration service (MIT and Heimdal) Master/Administrative KDC 464/udp Above 1024 Kerberos password changing service (older password-changing protocol) Thật port cần mở để hệ thống Ker hoạt động port 88 Các port khác mở để cung cấp dịch vụ khác đến client bên tường lửa  Kerberos and NAT KDC máy chủ ứng dụng phía sau tường lửa, với client sử dụng NAT 23 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 Network Address Translation, NAT, cho phép nhiều máy tính chia sẻ địa IP Trong thiết lập NAT, máy client bên dịch vụ NAT có riêng tư, khơng định tuyến địa IP NAT cung cấp vấn đề cho Kerberos vé yêu cầu chứa địa IP người yêu cầu Vì client yêu cầu vé trường hợp sử dụng NAT, nên địa IP client cung cấp đến KDC không bảng định tuyến Vì địa riêng tư client không phụ hợp với địa public NAT nên dịch vụ Kerberized khơng cấp vé cho khách hàng Ví dụ: hình Thiết bị NAT có public IP: 132.68.153.28 Mạng nội có giá trị IP RFC 1918 192.168.1.0 to 192.168.1.255 Một client (sử dụng dịch vụ NAT) có địa IP 192.168.1.2 yêu cầu TGT đến KDC bên hệ thống tường lửa vé TGT có giá trị cho địa IP client 192.168.1.2 không phù hợp với địa 132.168.153.28 NAT, nên yêu cầu client không thực Việc sử dụng vé khơng có trường địa (để hỗ trợ cho thiết bị NAT) làm giảm tính bảo mật Kẻ cơng tạo lưu nhớ caches ticket việc công replay attack dễ dàng  Auditing Windows domain controllers Mặc dù có chắn máy tính bạn an tồn cơng từ bên ngồi, bạn cần phải giám sát định kì hoạt động KDC Tùy thuộc vào nhà cung cấp KDC, số lượng truy cập theo măc định khác từ khơng (cấu hình mặc định window 2000) đến nhiều (MIT Hiemdal) Việc đăng nhập thiết lập thực thi KDC không với mục đích giám sát, mà cịn địng vai trị gỡ rối suốt trình hoạt động hệ thống Kerberos Sự đăng nhập user vào máy chủ Windown Domain Controller Window server 2008: Domain: CUONG.NET Client name: admin Sử dụng phần mềm Kerbtray Klist 24 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 25 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 IX Ưu nhược điểm giao thức Ưu điểm Kerberos giao thức mật mã dùng để xác thực mạng máy tính hoạt động đường truyền khơng an tồn, giao thức mặc định hệ điều hành Window, Mac OS, Unix Được đánh giá giao thức an tồn Mật khơng truyền trực tiếp đường truyền mạng, hạn chế tối đa cơng Giao thức mã hóa theo chuẩn mã hóa cao cấp Triple DES, RC4, AES nên an toàn Theo chế Single-Sign-on, đăng nhập lần, hạn chế việc công làm liệu Vé bị đánh cắp khó tái sử dụng Thay gởi thơng tin gốc mật mạng, Kerberos sử dụng vé mã hóa để chứng minh danh tính người sử dụng máy chủ, hệ thống xác thực người dùng người dùng xác thực lại server Nhược điểm Toàn hệ thống làm việc dựa an toàn hệ thống KDC, hệ thống bị công tồn thành phần hệ thống bị tê liệt, KDC hiểm họa cơng Địi hỏi máy tính hệ thống phải đồng vệ thời gian (không chênh lệch với phút) Với chế đăng nhập lần máy tính, máy tính rơi vào tay attackers tồn liệu người dùng bị đánh cắp, gây nguy cho toàn hệ thống X Trust Relationship Trust relationship liên kết luận lý thiết lập hệ thống domain, giúp cho chế chứng thực hệ thống domain thừa hưởng lẫn Trust relationship giải toán “single sign-on” logon chứng thực lần cho tất hoạt động domain, dịch vụ triển khai domain truy cập từ user thuộc domain khác Trong trust relationship cần phải có domain Domain tin tưởng gọi trusted domain, domain tin tưởng domain gọi trusting domain Cơ chế trust relationship giúp đảm bảo đối tượng (user, ứng dụng hay chương trình) tạo trusted domain chứng thực đăng nhập hay truy cập tài nguyên, dịch vụ trusting domain Tuy nhiên, hệ thống Windows hỗ trợ đến loại trust relationship với đặc tính ứng dụng khác Bài giúp bạn hiểu đặc tính ứng dụng loại để triển khai hệ thống cho hợp lí 26 | G i a o t h ứ c x c t h ự c K e r b e r o s PTIT_D06THA1 Các loại trust relationship Một trust relationship Windows Server 2003 bao gồm đặc tính sau: - Explicitly or Implicitly (tường minh hay ngầm định) - Transitive or Non-transitive (có tính bắc cầu hay khơng có tính bắc cầu) - Trust direction (chiều liên kết) Các loại trust relationship: có loại - Tree/root trust - Parent/child trust - Shortcut trust - Realm trust - External trust - Forest trust Để users thuộc domain truy cập tai nguyên cac máy server thuộc domain khác ( domain có trust relationship với nhau) để xác thực users đó, hệ thống domain phải dùng giao thức xác thực Kerberos để xác thực Tài liệu tham khảo: Kerberos: The Definitive Guide (Jason Garman/O'Reilly) http://www.amazon.co.uk/Kerberos-Definitive-Guide-JasonGarman/dp/0596004036/ref=sr_1_1/202-91732581666237?ie=UTF8&s=books&qid=1182273864&sr=8-1 MIT: Designing an Authentication System: A Dialogue in Four Scenes http://web.mit.edu/kerberos/www/dialogue.html Microsoft: http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/kerb step.mspx 27 | G i a o t h ứ c x c t h ự c K e r b e r o s