Kerberos (protocole)

alt=Principe du protocole Kerberos|vignette|Principe du protocole Kerberos Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Créé au Massachusetts Institute of Technology, il porte le nom grec de Cerbère, gardien des Enfers (). Kerberos a d'abord été mis en œuvre sur des systèmes Unix. Kerberos dialogue en UDP sur le port 88 par défaut. Le Realm (royaume) est un domaine administratif et non physique. Il définit les limites de contrôle d’un serveur d’authentification. Un utilisateur, un ordinateur hôte ou un service appartiennent tous à un realm. Cependant il est possible d’établir des relations entre realm pour permettre l’authentification entre utilisateurs et services de realm différents. Le nom du royaume est couramment écrit en lettres majuscules (EXAMPLE.COM) et peut être identique au nom de domaine d’une organisation. Cependant le nom d’un hôte est toujours indiqué avec son nom de domaine complet en plus du nom du royaume : host/server.example.com@EXAMPLE.COM. Le centre de distribution de clé est un serveur composé de trois éléments : la base de données, le serveur d’authentification (AS) et le serveur d’attribution des tickets (TGS). Le serveur d’authentification met en place un secret partagé (TGT) entre un utilisateur et le KDC. Ce secret est temporaire et est établi grâce au mot de passe de l’utilisateur qui permet de prouver son identité. Les services sont également authentifiés auprès de l’AS mais la clé n’expire pas. Le TGS distribue des tickets de session entre les utilisateurs authentifiés et les services. L’utilisateur ne communique pas son mot de passe avec le service directement.