Kerberos er en godkjenningsprotokoll tjeneste som brukes til å beskytte nettverksressurser mot uautorisert tilgang på Microsofts klient /server - baserte nettverk, for eksempel de som bruker Microsoft Windows 2003 server . Kerberos beskytter ressurser som filer og databaser som er lagret på nettverket servere ved å sikre at bare kunder som har logget seg på nettverket kan få tilgang til disse tjenestene. Kerberos gir ressurstilgang kun til kunder med kontoer som er oppført i et nettverk bruker og datamaskin konto databasen, for eksempel Active Directory , som brukes av Windows 2003 server . Forespørsel om en ticket-tildeling Ticket

En klient datamaskin på et nettverk, for eksempel en stasjonær datamaskin som kjører Windows XP eller Windows 7 , må kanskje få tilgang til en ressurs, for eksempel en fil , lagres på et nettverk datalagring server. Klienten sender en digital forespørsel til serveren som godkjente den på nettverket under pålogging. Forespørselen ber godkjenningsserveren for å sjekke kundens legitimasjon i Active Directory og skape en sertifikatene kunden trenger for å presentere å be om tilgang til nettverksressurser. Active Directory-serveren oppretter en kryptert digitalt sertifikat , som inneholder en Session Key ( SK ) , og en ticket-tildeling Ticket ( TGT ), som den sender tilbake til klientmaskinen .
Ticket-tildeling Server

klienten dekrypterer Session Key andt skaper en digital autentifikatoren å sende til en ticket-tildeling Server. Den autentifikatoren inneholder klienten navn , og Internet Protocol ( IP) -adresse , pluss en tidsangivelse . The ticket-tildeling Server er et nettverk server hosting Kerberos sikkerhetstjeneste. På en Windows - basert klient /server-nettverk , er dette vanligvis vertstjener Active Directory autentisering service.

Klienten sender autentifikatoren det har skapt , sammen med TGT det mottatt fra Active Directory -serveren , til Ticket Tilståelse Server. The Ticket Tildeling Server bruker autentifikatoren og TGT å opprette en ny SK . Det skaper også et digitalt sertifikat kjent som en Target Server Ticket, som inneholder legitimasjonen at klienten trenger for å få tilgang til filen er lagret på målet serveren . Den nye Target Server Ticket inneholder klienten navn og IP-adresse og et mål Server Ticket utløpsdato , pluss målet serveren sikkerhet nøkkelen og navnet på målet serveren . Den nye SK og Target Server Ticket er kryptert og sendt tilbake til klienten.
Target Server Authentication

Klienten sender den nye SK og Target server Billett til server-hosting filen som kunden ønsker å få tilgang til. Målet serveren godtar forespørselen fordi forespørselen inneholder målet serverens sikkerhet tasten. Målet serveren dekrypterer Target Server Ticket og sjekker SK klientgodkjenning informasjon , klienten IP -adressen og tidsangivelsen . Fordi de fleste nettverk innsynsbegjæringer krever to- veis kommunikasjon mellom klient og server-hosting ressurser , benytter målet serveren SK til å generere en melding , for eksempel klokkeslett -stempel, øke med én , og bruker SK sin krypteringsnøkkel til å kryptere denne meldingen , som den sender tilbake til kunden å bevise at det er serveren som kunden ønsker å kommunisere med.
ressurstilgang

målet serveren er nå tilfreds med at klient-server har rett til å etablere en kommunikasjon økt, og kunden er tilfreds med at målet serveren er riktig server , som målet serveren gjenkjenner kryptert digital sikkerhet nøkkel som kunden presentert. Klient og server begge deler SK å etablere en kommunikasjon økt.
P Dette betyr ikke at kunden kan få tilgang til filen er lagret på målet serveren . Kerberos muliggjør sikker kommunikasjon bare mellom datamaskiner. Filene er beskyttet av sine egne individuelle ressurs tilgangsrettigheter .