Estudo Sobre Kerberos Flashcards
Aprender os conceitos e aplicações sobre o protocolo de autenticação Kerberos
O que o usuário faz para se autenticar?
Apresenta um ticket fornecido pelo Authenticator Server(AS)
O que o serviço faz após apresentar o ticker?
Examina o ticket e verifica a identidade do usuário
Tipos de chave no Kerberos
Chave do usuário, chave de sessão e chave de serviço
O que é o timestamp?
É como uma mensagem com a hora exata, enviada do user para o AS para confirmar sua autenticidade
Margem de tempo do timestamp, devido relógios de rede não serem exatos
Usa-se uma média de 5 minutos de diferença
Porque o AS mantém uma lista de autenticações recentes?
Para se certificar que ninguém tentou as reenviar e se passar por outro usuário
O que é TGS?
Ticket Granting Server
Uso do Ticket Granting Server
Para não se armanezar a chave do usuário, mas ainda sim manter uma comunicação criptografada com a chave da sessão.
Depois da comunicação com o TGS, como fica a comunicação?
Fica dentro do modelo de conversa por mensagens em papel
O que é TGT?
Ticket Granting Ticket
Quanto tempo dura um TGT(ticket grating ticket)?
Normalmente 8 horas.
Onde o TGT é armazenado?
No credentials cache.
O usuário pode manipular seu TGT?
Sim, existem comandos para isso
O que é Cross Realm Authentication?
Quando o AS/TGS tem muitas requisições, ele vira um gargalo, então podemos dividir a rede em realms e cada realm tem seu próprio AS/TGS
Para o usuário acessar um serviço em outro realm, deve-se?
O realm do usuário deve registrar um Remote Ticket Granting Server(RTGS) no realm do serviço
O que a versão 5 do Kerberos permite em relação ao Cross Realm Authentication?
Permite criar uma hierarquia de realms, de modo que para contatar um serviço em outro realm, pode ser necessário contatar um RTGS em um realm imediato.
Onde os nomes dos realms são guardados?
No próprio ticket
O que usuário deve fazer primeiro antes de usar o Kerberos?
Ele deve estabelecer um kerberos principal, que é como uma conta no host.
Exemplo do principal:
your_name@YOUR_REALM
O que é associado ao principal?
Um nome, uma senha e outras informações de identificação
O que o usuário precisa para usar os serviços?
Obter um ticket do TGS
Qual o comando para se obter um TGT(Ticket Granting Ticket)?
kinit
Lembrar de Kerberos Init
O que o kinit faz ao ser utilizado?
Faz uma requisição ao AS para contatar o TGS
Comando para listar os TGT’s ativos:
klist
lembrar de Kerberos List
Onde ficam armazenados os tickets(TGT)?
Em /var/tmp/nome_do_ticket
ex: /var/tmp/krb5cc_1234
Se o usuário não quiser deixar os tickets no cache, qual o comando para destruí-los?
kdestroy
Lembrar de Kerberos Destroy
Composição do ticket:
Nome do server nome do client endereço do client timestamp validade do TGT chave de sessão aleatória
Como o ticket é cifrado?
Com a chave do server
Um ticket serve para qualquer serviço?
Não, para cada serviço a ser utilizado, é necessário um ticket exclusivo para o tal serviço
O que significa KDBM?
Kerberos Database Management Service
O que é feito no Kerberos Database Management Service?
São onde são feitas as alterações no banco de dados.
Lá se adicionam principals ou se alteram senhas
O KDBM roda em qualquer máquina?
Não. Apenas num host mestre
AS cópias armazenadas nos slaves podem ser alteradas?
Não. São cópias de somente leitura
Qual é o programa client-side que solicita ao KDBM alteração de senha?
kpasswd
Qual o programa client-side para administração?
kadmin
Quais tipos de requisições o KDBM aceita?
Apenas requisições para adicionar principals ou alteração de senhas. Ele não entrega tickets TGT
O que os admins do Kerberos usam para adicionar principals ou alterar senhas?
kadmin
O que cada realm kerberos possui?
Cada realm tem sua máquina kerberos mestre, que armazenam a cópia mestre do banco principal
Quais as vantagens de ter uma cópia do banco em cada slave?
Alta disponibilidade e melhor performance. Se o host master cair, a autenticação ainda é possível e sobre a performance, evita que a principal se torne um gargalo na autenticação
