kerberos
ما هو kerberos ؟
بروتوكول kerberos هو برتوكول مصادقة منبثق عن مشروع “أثينا ” لمعهد ماساتشوستس للتكنولوجيا ,يرجع اسمه لأحد الكائنات
الموجودة في المثولوجيا الإغريقية, و هو كلب حارس بثلاث رؤوس .يتوافق هذا التشبيه مع طريقة عمل بروتوكول kerberos فهو
مكلف بالمصادقة ,السماح و مراقبة المستخدمين الراغبين في الولوج لموارد و خدمات الشبكة .
يعتبر بروتوكول kerberos مرجعا و معيارا يعمل على حل مجموعة من المشاكل متعلقة بالأمن ,الإدارة و الإنتاجية في عملية
التحقق و المصادقة من العملاء و الخدمات داخل الشبكة .
أدخل kerberos مفهوم Single Sign-On (SSO) الذي يمكن المستخدم من الولوج إلى خدمات الشبكة عن طريقالقيام بعملية
المصادقة مرة واجدة فقط .
قد يتساأل المرء إن كان البروتوكول آمنا ,فرهن كل شي بمصادقة واحدة قد يخلق مشكلة كبيرة تتمثل في انهيار البينية النحتية
في حالة ما إذا توقف البروتوكول عن العمل .
كبف يعمل بروتوكول kerberos ؟
يعتمد kerberos على طرف ثالث يدعى مركز توزيع المفاتيح KDC للقيام بعملية المصادقة و بالتالي تشكل مصدر ثقة بالنسبة
للمستخدمين والخدمات الموجودة في الشبكة . من أجل تأمين عملية المصادقة يستعملkerberos آلية تشفير تعتمد على
خوارزميات ذات مفتاح متماثل .يتوفر كل عنصر أو خدمة ما في الشبكة على مفتاح سري يتشاركه مع مركز توزيع المفاتيح KDC .
يعتمد kerberos على نظام التذكرة للقيام بعملية المصادقة , يطلب كل مستخدم التحقق من هويته من مركز توزيع المفاتيح ثم
يستعمل التذكرة في كل مرة يلج فيها إلى خدمة على الشبكة .
يفرق kerberos عمل و دور مركز توزيع المفاتيح KDC إلى خدمتين أساسيتين :
– خدمة المصادقة (Authentication Service ) : تمكن هذه الخدمة التحقق من هوية المستخدمين كما تمنح تذكرة (
Ticket Granting Ticket) التي تسمح بطلب تذكرة أخرى للولوج إلى خمات الشبكة .
– خدمة منح التذكرة (Ticket Granting Service ) : توفر هذه الخدمة التذاكر الضرورية للولوج إلى مختلف الخدمات المتوفرة على
الشبكة .
يقوم مبدأ عمل kerberos على الشكل الأتي :
1- يطلب المستخدم المصادقة على هويته بإدخال كلمة المرور و اسمه المستعار ,يشتق عميل kerberos الموجود على الجهاز
مفتاح سري من كلمة المرور ثم يقوم بإرساله رفقة هوية المستخدم الغير مشفرة إلى جدمة المصادقة للقيام يعملية التحقق .
2- تتحقق خدمة المصادقة من وجود المستخدم في قاعدة الببانات ثم تعمل على اشتقاق مفتاح سري بغية فك شفرة طلب
المصادقة المرسل من طرف المستخدم ,في حال نجاح العملية تصدر خدمة المصادقة تذكرة TGT و مفتاح جلسة بين المستخدم
و خدمة منح التداكر مشفربن باستخدام المفتاح السري المشتق من كلمة مرور المستخدم .
3- يفك المستخدم شفرة جواب خدمة المصادقة حيث يحصل على التذكرة TGT و مفتاح الجلسة ,يتقدم بعد ذلك لخدمة منح
التذاكر للحصول على إذن الولوج لخدمة ما .
4- بفضل التذكرة TGT تستطيع خدمة منح التذاكر TGS التعرف على هوية المستخدم و كذا مفتاح الجلسة الذي سيمكن من
تشفير الإتصال .في حالة ما إذا كان المستخدم يملك صلاحيات الولوج إلى الخدمة ,يقوم TGS بإصدار تذكرة ticketservice التي
تضمن الإتصال نع الخدمة .
5- يتقدم المستخدم بطلب الولوج إلى الخدمة باستخدام تذكرة ticketservice
6- تتلقى الخدمة تذكرة ticketservice حيث تستخلص المدة الزمنية ksession وتعيد إرساله للمستخدم
7-يستقبل المستخدم المدة الزمنية ksession ليتأكد من أنه في نفس الجلسة .
سلبيات بروتوكول kerberos ؟
– يجب على جميع الخدمات أن تكون متوافقة مع kerberos و إلا فإن النظام لن يعمل .
– في حالة سقوط الخادم kerberos لن يكون يالإمكان الولوج إلى أي خدمة على الشبكة .
– يجب على الأجهزة المتواجدة في الشبكة التزامن في التوقيت لكي تنجح عملية إدارة زمن التذاكر .
