Kerberos, TCP/IP yapısının yeterince güvenli bulunmaması sonucu MIT tarafından geliştirilen bir ağ kimlik denetleme protokolüdür. Oracle, Apple, Google, Microsoft gibi büyük vendor firmalardan aldığı destekler ve sponsorluklarla Kerberos geliştirilmeye devam etti ve son versiyonu olan 5 ise IETF (Internet Engineering Task Force) tarafından RFC 1510 koduyla standartlaştırıldı.
Microsoft, Windows 2000′den itibaren Active Directoy yapısındaki ağ kimlik denetimi için Kerberos protokolünün bazı eklemeler ve değişiklikler yapılmış bir varyasyonunu kullanmakta.
Yunan mitolojisindeki Kerberos adlı bekçi köpeğinin üç farklı başı Kerberos protokolünün üç farklı alt yapısını simgeler:
- Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC)
- Kullanıcı ve hesabı
- İstenilen servisi sağlayan sunucu
Anahtar Dağıtım Merkezi, Active Directory Domain Kontrolörünün bir parçası olarak kurulur ve temel olarak iki farklı görevi vardır:
- Kimlik doğrulama hizmeti (Authentication Service)
- Bilet Sağlama Hizmeti (Ticket-Granting Service)
Kısaca özetlemek gerekirse bir kullanıcı ilk kez bir hizmet almak istediğinde sırasıyla
- Kimlik doğrulama hizmeti takası
- Bilet sağlama hizmeti takası
- Kullanıcı/Sunucu takası
aşamalarından geçmelidir.
Kullanıcı ilk olarak kullanıcı kimlik bilgilerini girerek Active Directory Domain Kontrolörüne kullanıcı olduğunu ispatlar ve bunun sonucu olarak Domain Kontrolöründeki Kimlik Doğrulama Hizmeti, kullanıcı bilgilerini kontrol edip onaylayarak sonra kullanıcıya Bilet-Sağlayan-Bilet (Ticket Granting Ticket) sağlar. Bu bilet kullanıcıya gönderilmeden önce kullanıcının şifresi ile hash işlemine sokulur. Böylece bu bilet ağ üzerinden kriptolu olarak hareket eder ve kullanıcı bilgisayarı, kullanıcı şifresiyle bu kriptoyu açabilir. “Bilet Sağlayan Bilet” bir nevi joker gibi düşünülebilir. Kullanıcı ağ üzerindeki bir servisi kullanmak istediğinde bu bilet-sağlayan-bileti Domain Kontolörüne tekrar gönderen kullanıcı, Domain kontrolöründen elindeki bilete karşılık ulaşmak istediği servise ait bir bilet talep eder. Bu sefer kullanıcı Domain Kontrolöründeki bünyesindeki “Bilet Sağlama Hizmeti”nden yanıt alır. Bilet sağlama hizmeti kullanıcıya istediği hizmete ait “Servis Bileti”ni verdikten sonra kullanıcı bu servis biletiyle ulaşmak istediği ağ servisine bağlanarak istediği hizmeti alır.
MSHOWTO
Başaran Badur