Estudo Sobre Kerberos

Question 1

O que o usuário faz para se autenticar?

Answer 1

Apresenta um ticket fornecido pelo Authenticator Server(AS)

Question 2

O que o serviço faz após apresentar o ticker?

Answer 2

Examina o ticket e verifica a identidade do usuário

Question 3

Tipos de chave no Kerberos

Answer 3

Chave do usuário, chave de sessão e chave de serviço

Question 4

O que é o timestamp?

Answer 4

É como uma mensagem com a hora exata, enviada do user para o AS para confirmar sua autenticidade

Question 5

Margem de tempo do timestamp, devido relógios de rede não serem exatos

Answer 5

Usa-se uma média de 5 minutos de diferença

Question 6

Porque o AS mantém uma lista de autenticações recentes?

Answer 6

Para se certificar que ninguém tentou as reenviar e se passar por outro usuário

Question 7

O que é TGS?

Answer 7

Ticket Granting Server

Question 8

Uso do Ticket Granting Server

Answer 8

Para não se armanezar a chave do usuário, mas ainda sim manter uma comunicação criptografada com a chave da sessão.

Question 9

Depois da comunicação com o TGS, como fica a comunicação?

Answer 9

Fica dentro do modelo de conversa por mensagens em papel

Question 10

O que é TGT?

Answer 10

Ticket Granting Ticket

Question 11

Quanto tempo dura um TGT(ticket grating ticket)?

Answer 11

Normalmente 8 horas.

Question 12

Onde o TGT é armazenado?

Answer 12

No credentials cache.

Question 13

O usuário pode manipular seu TGT?

Answer 13

Sim, existem comandos para isso

Question 14

O que é Cross Realm Authentication?

Answer 14

Quando o AS/TGS tem muitas requisições, ele vira um gargalo, então podemos dividir a rede em realms e cada realm tem seu próprio AS/TGS

Question 15

Para o usuário acessar um serviço em outro realm, deve-se?

Answer 15

O realm do usuário deve registrar um Remote Ticket Granting Server(RTGS) no realm do serviço

Question 16

O que a versão 5 do Kerberos permite em relação ao Cross Realm Authentication?

Answer 16

Permite criar uma hierarquia de realms, de modo que para contatar um serviço em outro realm, pode ser necessário contatar um RTGS em um realm imediato.

Question 17

Onde os nomes dos realms são guardados?

Answer 17

No próprio ticket

Question 18

O que usuário deve fazer primeiro antes de usar o Kerberos?

Answer 18

Ele deve estabelecer um kerberos principal, que é como uma conta no host.

Question 19

Exemplo do principal:

Answer 19

your_name@YOUR_REALM

Question 20

O que é associado ao principal?

Answer 20

Um nome, uma senha e outras informações de identificação

Question 21

O que o usuário precisa para usar os serviços?

Answer 21

Obter um ticket do TGS

Question 22

Qual o comando para se obter um TGT(Ticket Granting Ticket)?

Answer 22

kinit

Lembrar de Kerberos Init

Question 23

O que o kinit faz ao ser utilizado?

Answer 23

Faz uma requisição ao AS para contatar o TGS

Question 24

Comando para listar os TGT’s ativos:

Answer 24

klist

lembrar de Kerberos List

Question 25

Onde ficam armazenados os tickets(TGT)?

Answer 25

Em /var/tmp/nome_do_ticket

ex: /var/tmp/krb5cc_1234

Question 26

Se o usuário não quiser deixar os tickets no cache, qual o comando para destruí-los?

Answer 26

kdestroy

Lembrar de Kerberos Destroy

Question 27

Composição do ticket:

Answer 27

Nome do server
nome do client
endereço do client
timestamp
validade do TGT
chave de sessão aleatória

Question 28

Como o ticket é cifrado?

Answer 28

Com a chave do server

Question 29

Um ticket serve para qualquer serviço?

Answer 29

Não, para cada serviço a ser utilizado, é necessário um ticket exclusivo para o tal serviço

Question 30

O que significa KDBM?

Answer 30

Kerberos Database Management Service

Question 31

O que é feito no Kerberos Database Management Service?

Answer 31

São onde são feitas as alterações no banco de dados.

Lá se adicionam principals ou se alteram senhas

Question 32

O KDBM roda em qualquer máquina?

Answer 32

Não. Apenas num host mestre

Question 33

AS cópias armazenadas nos slaves podem ser alteradas?

Answer 33

Não. São cópias de somente leitura

Question 34

Qual é o programa client-side que solicita ao KDBM alteração de senha?

Answer 34

kpasswd

Question 35

Qual o programa client-side para administração?

Answer 35

kadmin

Question 36

Quais tipos de requisições o KDBM aceita?

Answer 36

Apenas requisições para adicionar principals ou alteração de senhas. Ele não entrega tickets TGT

Question 37

O que os admins do Kerberos usam para adicionar principals ou alterar senhas?

Answer 37

kadmin

Question 38

O que cada realm kerberos possui?

Answer 38

Cada realm tem sua máquina kerberos mestre, que armazenam a cópia mestre do banco principal

Question 39

Quais as vantagens de ter uma cópia do banco em cada slave?

Answer 39

Alta disponibilidade e melhor performance. Se o host master cair, a autenticação ainda é possível e sobre a performance, evita que a principal se torne um gargalo na autenticação