Kerberos Protokolü Nedir? Temel İşleyişi Nasıldır? Kerberos, TCP/IP yapısının yeterince güvenli bulunmaması sonucu MIT tarafından geliştirilen bir ağ kimlik denetleme protokolüdür. Oracle, Apple, Google, Microsoft gibi büyük vendor firmalardan aldığı destekler ve sponsorluklarla Kerberos geliştirilmeye devam etti. Son versiyonu olan 5 ise IETF (Internet Engineering Task Force) tarafından RFC 1510 koduyla standartlaştırılmıştır.
Resim-1
Microsoft, Windows 2000’den itibaren Active Directoy yapısındaki ağ kimlik denetimi için Kerberos protokolünün bazı eklemeler ve değişiklikler yapılmış bir varyasyonunu kullanmaktadır.
Pekala, Kerberos ne için kullanılır?
Yunan mitolojisindeki Kerberos adlı bekçi köpeğinin üç farklı başı Kerberos protokolünün üç farklı alt yapısını simgeler:
- Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC)
- Kullanıcı ve hesabı
- İstenilen servisi sağlayan sunucu
Anahtar Dağıtım Merkezi, Active Directory Domain Kontrolörünün bir parçası olarak kurulur ve temel olarak iki farklı görevi vardır:
- Kimlik doğrulama hizmeti (Authentication Service)
- Bilet Sağlama Hizmeti (Ticket-Granting Service)
Bir kullanıcı ilk kez bir hizmet almak istediğinde ise sırasıyla aşamalarından geçmelidir.
- Kimlik doğrulama hizmeti takası
- Bilet sağlama hizmeti takası
- Kullanıcı/Sunucu takası
Kullanıcı ilk olarak kullanıcı kimlik bilgilerini girerek Active Directory Domain Kontrolörüne kullanıcı olduğunu ispatlar.
Ve, bunun sonucu olarak Domain Kontrolöründeki Kimlik Doğrulama Hizmeti, kullanıcı bilgilerini kontrol edip onaylar.
Son olarak, kullanıcıya Bilet-Sağlayan-Bilet (Ticket Granting Ticket) sağlar ve bu bilet kullanıcıya gönderilmeden önce kullanıcının şifresi ile hash işlemine sokulur. Böylece, bu bilet ağ üzerinde kriptolu (şifreli) olarak hareket eder.
Sadece işlem yapan kullanıcı bilgisayarı ve kullanıcı şifresi bu kriptoyu açma yetkisine sahip olacaktır.
“Bilet Sağlayan Bilet” i bir nevi joker gibi düşünebilirsiniz. Kullanıcı ağ üzerindeki bir servisi kullanmak istediğinde bu bilet-sağlayan-bileti Domain Kontolörüne tekrar gönderen kullanıcı, Domain kontrolöründen elindeki bilete karşılık ulaşmak istediği servise ait bir bilet talep eder. Bu sefer kullanıcı Domain Kontrolöründeki bünyesindeki “Bilet Sağlama Hizmeti”nden yanıt alır. Bilet sağlama hizmeti kullanıcıya istediği hizmete ait “Servis Bileti”ni verir. Ve, kullanıcı bu servis biletiyle ulaşmak istediği ağ servisine bağlanarak istediği hizmeti alır.
Resim-2
Bu yazıda Kerberos protokolüne değindik ve Kerberos nedir sorusuna cevap üretmeye çalıştık.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
çok guzel bir yazi, eline sağlık Başaran,
internete çıkmak isteyen kullanıcıları active directory ile nasıl kontrol altına alınabilir. yani ağa çıkmak isteyene user ve password bilgisi sorup doğruluğu ok ise izin verilsin. yanlış ise internete çıkamasın.yorumunuz için şimdiden teşekkürler.