O Kerberos não é um cachorro de 3 cabeças!

Neste artigo procuro explicar de forma simples a estrutura do Kerberos, mostrando exemplos de cada etapa da configuração desse extraordinário sistema de segurança.

[ Hits: 134.236 ]

Por: Oscar Costa em 04/11/2005 | Blog: https://oscarcosta.dev/


Utilização



A utilização do Kerberos para os usuários pode ser tão transparente que ele não precisa saber da sua existência, pois o programa de login pode ser adicionado a inicialização do sistema, deste modo assim que o usuário logar ao sistema, ele estará se autenticando na rede Kerberos. Todo o processo de autenticação, de recebimento e descriptografia do TGT e recebimento dos tickets de seção será feito de forma transparente.

Mas para isso ocorrer, os servidores e demais hosts devem estar configurados e aptos a funcionar como uma rede Kerberos.

Para exemplificar a utilização do Kerberos pelos clientes, os itens abaixo abordarão os principais comandos de utilização de tickets, troca de senhas e aplicações que suportam o Kerberos.

6.1. Manutenção dos tickets


O comando para obtenção dos tickets é kinit. Este comando pode ser considerado o login do Kerberos, pois a partir dele o usuário se autentica, recebendo em seguida o TGT para a utilização da conexão segura provida pelo Kerberos.

O comando klist mostra informações dos tickets ao usuário, mostrando localização do arquivo de ticket, data de obtenção, data de expiração e o serviço utilizado com o ticket.

Os tickets tem prazo para expirar, mas o usuário pode "destruir" os seus tickets quando quiser com o comando kdestroy. Uma medida básica de segurança é a inserção do kdestroy nos arquivos de logout dos usuários, deste modo assim que um usuário sair do sistema, os tickets serão destruídos, mesmo que o tempo de vida dos tickets não tenha acabado.

6.2. Senhas


O processo de alteração da senha secreta do Kerberos é praticamente o mesmo utilizado pelo Linux e por outros serviços como o NIS/NFS. O comando kpasswd altera a senha secreta do usuário no sistema Kerberos.

6.3. Aplicações


Muitos programas de rede como rlogin, telnet, ftp, rsh, rcp, ksu aceitam a autenticação e a utilização de seção criptografada via Kerberos. Quando um usuário autenticado no Kerberos necessita utilizar um destes programas, eles se encarregam de toda negociação de forma transparente para o usuário.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Kerberos
   3. Segurança
   4. Decisões do sistema
   5. Instalação e configuração
   6. Utilização
   7. Conclusões e Bibliografia
Outros artigos deste autor

A teoria por trás do firewall

Automatizando a montagem de partições Windows (FAT e NTFS) no Linux

SSH - Uma breve abordagem

Leitura recomendada

Criando VPNs entre servidores Linux sem mistérios (parte I)

Configurando logout automático para conta root

OSSEC HIDS - Instalação e configuração no CentOS 6.5

Análise Forense - Aspectos de perícia criminal

Cliente "automágico" Linux logando no domínio NT/Samba

  
Comentários
[1] Comentário enviado por chavesfelipe em 04/11/2005 - 08:57h

Muito bom!!! Exelente!

[2] Comentário enviado por augusto_hp em 04/11/2005 - 11:58h

Caramba meu ... este é um artigo ímpar no VOL !! A deficiência de material sobre o kerberos é enorme, e quando existe é em uma linguagem praticamente inacessível ....excelente artigo kilocan ....

Acho que temos muito o que ganhar com este artigoão aqui !!! ;D

[3] Comentário enviado por removido em 04/11/2005 - 17:39h

nem doeu.....he...he...he...
;-))

[4] Comentário enviado por removido em 04/11/2005 - 23:04h

como disse augusto_hp, quando se acha algo sobre kerberos a linguagem é compreenssível apenas pelos "iniciados" e este artigo de qualidade contribui muito para o esclarecimento e implementação de rotinas de segurança tão inexistentes em nossas intranets e elevar ainda mais a qualidade do site.
parabéns.

[5] Comentário enviado por jeffestanislau em 05/11/2005 - 00:02h

Tá show de bola o artigo... bem esclarecedor!!!
Parabéns!!!

[]'s
Jefferson

[6] Comentário enviado por casterman em 06/11/2005 - 13:35h

Realmente parabéns pelo seu artigo, ta bem completo muito bom mesmo!!!

[7] Comentário enviado por cassao em 07/11/2005 - 11:44h

Bem legal, parabéns.
Mas só comentando o post do augusto_hp, tem muito material na net sobre o Kerberos cara... Em inglês tem bastante, em português tem menos, mas tem.

[8] Comentário enviado por forrest1777 em 17/03/2006 - 18:23h

Gostei muito desse artigo :P
bem esclarecedor, linguagem fácil de entender, nota 10!!

só to com um problema... o Kilocan citou o seguinte: "o programa de login pode ser adicionado a inicialização do sistema"
será que alguem poderia me dizer como fazer isso???
[]'s

[9] Comentário enviado por EnzoFerber em 14/12/2006 - 00:38h

Cara, excelente artigo. Parabéns.

Só pra constar: kerberos realmente não é um cachorro de 3 cabeças... e sim Cerberus, o guardiao da entrada do Submundo. :) Pelo menos eles compartilham uma qualidade: ambos zelam pela segurança. :)

Parabéns novamente pelo artigo.
[]'s
Slackware_10

[10] Comentário enviado por EnzoFerber em 14/12/2006 - 00:45h

Qual algoritmo de criptografia o kerberos usa? DES? Triple-DES? Ou algum algoritmo próprio?

[11] Comentário enviado por yetlinux em 24/04/2009 - 06:19h

Kerberos é nome grego. Cerberus é latim. Cérbero é aportuguesamento.

http://pt.wikipedia.org/wiki/C%C3%A9rbero

[12] Comentário enviado por samuelbpc em 19/03/2014 - 09:48h

Amigo,

- Obrigado pelo seu tempo dedicado.
Foi de grande ajuda o seu artigo.

Apesar de não ter resolvido o meu problema, me deu algumas pistas.

Obrigado.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts