Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Reference Guide - Funzionamento di Kerberos

19.3. Funzionamento di Kerberos

Kerberos differisce dai metodi di autenticazione del tipo nome utente/password perch� invece di eseguire un'autenticazione di ogni utente per ogni servizio di rete, Kerberos utilizza la cifratura simmetrica e un sistema fidato di terze parti, noto come KDC,per autenticare gli utenti per una suite di servizi di rete.Avvenuta l'autenticazione, Kerberos invia un ticket specifico per quella sessione sul computer dell'utente, e tutti i servizi kerberizzati, per effettuare l'autenticazione, invece di chiedere la password all'utente cercheranno direttamente il ticket in questione.

Quando un utente su di una rete kerberizzata si collega alla propria workstation,il suo principal viene inviato al KDC in una richiesta per il TGT da AS. Questa richiesta pu� essere inviata dal programma di login in modo trasparente o dal programma kinit una volta che l'utente ha eseguito il suo log in.

Il KDC controlla la presenza del principal nel suo database. Se viene trovato, il KDC crea un TGT, lo cifra usando la chiave dell'utente e lo invia come risposta all'utente.

Il programma di login sulla macchina client o kinit decodifica il TGT utilizzando la chiave (che ricava dalla password dell'utente). La chiave dell'utente � usata solo sul dispositivo del client e non � inviata attraverso la rete.

Il TGT scade dopo un determinato periodo (generalmente dieci ore) ed � immagazzinata in una cache delle credenziali del dispositivo del client. La data di scadenza viene impostata in modo che un TGT compromesso possa essere utilizzato solo per un periodo limitato. Una volta emesso il TGT, l'utente non dovr� inserire nuovamente la propria password fino a quando non scadr� il TGT o quando l'utente si scollega per poi collegarsi nuovamente.

Quando un utente ha necessit� di accedere ad un servizio di rete, il software del client utilizza il TGT per richiedere al TGS un nuovo ticket per un determinato servizio. Il ticket del servizio verr� usato per autenticare l'utente in modo trasparente nei confronti del servizio specifico stesso.

AttenzioneAttenzione
 

Il sistema Kerberos pu� risultare compromesso ogni volta che l'autenticazione di un utente per un servizio che non utilizza Kerberos avviene per mezzo dell'invio di una password di testo. Pertanto, non � consigliato utilizzare servizi che non prevedono Kerberos, come per esempio Telnet e FTP. � invece accettabile l'utilizzo di protocolli cifrati,come i servizi sicuri SSH o SSL, anche se non � ideale.

Chiaramente, la spiegazione sopra riportata non � che una panoramica sul funzionamento dell'autenticazione da parte di Kerberos. Se desiderate approfondire l'argomento, consultate la Sezione 19.7.

NotaNota Bene
 

Kerberos dipende da alcuni servizi di rete per poter funzionare correttamente. Kerberos richiede una sincronizzazione approssimativa degli orologi delle macchine sulla rete. Si consiglia, pertanto, di impostare sulla rete un programma di sincronizzazione degli orologi, come per esempio ntpd. Per maggiori informazioni su come configurare ntpd, controllare /usr/share/doc/ntp-<numero-versione>/index.htm per l'impostazione dei server del Network Time Protocol (sostituire <numero-versione> con il numero della versione del pacchetto ntp installato sul sistema).

Inoltre, alcuni aspetti di Kerberos si basano sul DNS (Domain Name Service), per questo motivo accertatevi che le entry e gli host DNS presenti sulla rete, siano configurati in modo corretto. Consultate la Guida degli amministratori di Kerberos V5 System, presente in formato PostScript e HTML nella directory /usr/share/doc/krb5-server-<numero-versione> per maggiori informazioni (sostituire <numero-versione> con il numero della versione del pacchetto krb5-server installato sul sistema).

 
 
  Published under the terms of the GNU General Public License Design by Interspire