İlginizi Çekebilir
  1. Ana Sayfa
  2. Server 2012
  3. Kerberos Protokolü Nedir? Temel İşleyişi Nasıldır?

Kerberos Protokolü Nedir? Temel İşleyişi Nasıldır?


SAFİR

, TCP/IP yapısının yeterince güvenli bulunmaması sonucu MIT tarafından geliştirilen bir ağ kimlik denetleme protokolüdür. Oracle, Apple, Google, Microsoft gibi büyük vendor firmalardan aldığı destekler ve sponsorluklarla geliştirilmeye devam etti ve son versiyonu olan 5 ise IETF (Internet Engineering Task Force) tarafından RFC 1510 koduyla standartlaştırıldı.


Resim-1

Microsoft, Windows 2000’den itibaren Active Directoy yapısındaki ağ kimlik denetimi için Kerberos protokolünün bazı eklemeler ve değişiklikler yapılmış bir varyasyonunu kullanmakta.

Yunan mitolojisindeki Kerberos adlı bekçi köpeğinin üç farklı başı Kerberos protokolünün üç farklı alt yapısını simgeler:

  • Anahtar Dağıtım Merkezi ( Key-Distribution-Center/KDC)
  • Kullanıcı ve hesabı
  • İstenilen servisi sağlayan sunucu

Anahtar Dağıtım Merkezi, Active Directory Domain Kontrolörünün bir parçası olarak kurulur ve temel olarak iki farklı görevi vardır:

Kısaca özetlemek gerekirse bir kullanıcı ilk kez bir hizmet almak istediğinde sırasıyla

  • Kimlik doğrulama hizmeti takası
  • Bilet sağlama hizmeti takası
  • Kullanıcı/Sunucu takası

aşamalarından geçmelidir.

Kullanıcı ilk olarak kullanıcı kimlik bilgilerini girerek Active Directory Domain Kontrolörüne kullanıcı olduğunu ispatlar ve bunun sonucu olarak Domain Kontrolöründeki Kimlik Doğrulama Hizmeti, kullanıcı bilgilerini kontrol edip onaylayarak sonra kullanıcıya Bilet-Sağlayan-Bilet (Ticket Granting Ticket) sağlar. Bu bilet kullanıcıya gönderilmeden önce kullanıcının şifresi ile hash işlemine sokulur. Böylece bu bilet ağ üzerinden kriptolu olarak hareket eder ve kullanıcı bilgisayarı, kullanıcı şifresiyle bu kriptoyu açabilir. “Bilet Sağlayan Bilet” bir nevi joker gibi düşünülebilir. Kullanıcı ağ üzerindeki bir servisi kullanmak istediğinde bu bilet-sağlayan-bileti Domain Kontolörüne tekrar gönderen kullanıcı, Domain kontrolöründen elindeki bilete karşılık ulaşmak istediği servise ait bir bilet talep eder. Bu sefer kullanıcı Domain Kontrolöründeki bünyesindeki “Bilet Sağlama Hizmeti”nden yanıt alır. Bilet sağlama hizmeti kullanıcıya istediği hizmete ait “Servis Bileti”ni verdikten sonra kullanıcı bu servis biletiyle ulaşmak istediği ağ servisine bağlanarak istediği hizmeti alır.


Resim-2

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

Başaran BADUR, Ünye/Ordu doğumludur. Lise eğitimini Samsun Fen Lisesi’nde tamamlamıştır. Lisans eğitimine İstanbul Teknik Üniversitesi Telekomünikasyon Mühendisliği (Elektronik ve Haberleşme Müh.) bölümünde devam etmektedir. Cisco Certified Network Associate eğitimini 2012 yılında tamamlayan Başaran BADUR, yine 2012 yılından itibaren PeakUp Bilişim Danışmanlık Şirketi bünyesinde danışman olarak görev yapmaktadır.

Yorum Yap

Yorumlar (2)

  1. çok guzel bir yazi, eline sağlık Başaran,

  2. internete çıkmak isteyen kullanıcıları active directory ile nasıl kontrol altına alınabilir. yani ağa çıkmak isteyene user ve password bilgisi sorup doğruluğu ok ise izin verilsin. yanlış ise internete çıkamasın.yorumunuz için şimdiden teşekkürler.