System Kerberos. Patryk Czarnik. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Podobne dokumenty
System Kerberos. Użytkownicy i usługi. Usługa. Użytkownik. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10

Bezpieczeństwo systemów komputerowych

Protokoły zdalnego logowania Telnet i SSH

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

ZiMSK. Konsola, TELNET, SSH 1

Protokół DHCP. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Protokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Zdalne logowanie do serwerów

Protokół SSH. Patryk Czarnik

Protokół IPsec. Patryk Czarnik

Stos TCP/IP. Warstwa aplikacji cz.2

Protokół SSH. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

SMB protokół udostępniania plików i drukarek

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Bezpieczeństwo systemów komputerowych.

SSL (Secure Socket Layer)

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

SSH. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

Bezpieczna poczta i PGP

Bezpieczna poczta i PGP

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

System operacyjny UNIX - użytkownicy. mgr Michał Popławski, WFAiIS

Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Zastosowania PKI dla wirtualnych sieci prywatnych

2 Kryptografia: algorytmy symetryczne

Seminarium Katedry Radiokomunikacji, 8 lutego 2007r.

Wykład X. Systemy kryptograficzne Kierunek Matematyka - semestr IV. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Serwery autentykacji w sieciach komputerowych

Protokół DHCP. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Sieci VPN SSL czy IPSec?

WSIZ Copernicus we Wrocławiu

DESlock+ szybki start

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Serwery LDAP w środowisku produktów w Oracle

11. Autoryzacja użytkowników

Usługi sieciowe systemu Linux

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Firewalle, maskarady, proxy

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Instrukcja konfiguracji programu Fakt z modułem lanfakt

4. Podstawowa konfiguracja

7. zainstalowane oprogramowanie zarządzane stacje robocze

Wprowadzenie ciag dalszy

Adres IP

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Opis przedmiotu zamówienia. Część IV. Dostawa niewyłącznej, nieograniczonej czasowo licencji oprogramowania Microsoft Serwer 2012 R2 DataCenter x64.

System Użytkowników Wirtualnych

Przekierowanie portów w routerze - podstawy

Eduroam - swobodny dostęp do Internetu

Marcin Szeliga Sieć

KAMELEON.CRT OPIS. Funkcjonalność szyfrowanie bazy danych. Wtyczka kryptograficzna do KAMELEON.ERP. Wymagania : KAMELEON.ERP wersja

Tomasz Greszata - Koszalin

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Politechnika Krakowska im. Tadeusza Kościuszki. Karta przedmiotu. obowiązuje w roku akademickim 2011/2012. Programowanie usług sieciowych

Ochrona danych i bezpieczeństwo informacji

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

Sprawozdanie nr 4. Ewa Wojtanowska

Przewodnik technologii ActivCard

Metody uwierzytelniania klientów WLAN

BSK. Copyright by Katarzyna Trybicka-Fancik 1. Nowy klucz jest jedynie tak bezpieczny jak klucz stary. Bezpieczeństwo systemów komputerowych

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Szczegółowy opis przedmiotu zamówienia:

Polityka bezpieczeństwa. Marcin Szeliga

Instalacja i konfiguracja serwera SSH.

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Usługi terminalowe

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Active Directory

Bezpieczeństwo bezprzewodowych sieci LAN

Klient-Serwer Komunikacja przy pomocy gniazd

INSTRUKCJA OBSŁUGI DLA SIECI

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Protokoły internetowe

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Transkrypt:

System Kerberos Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 1 / 26

Kerberos wprowadzenie Usługi sieciowe Użytkownicy i usługi Usługa Funkcjonalność, z której można (chcieć) korzystać, np.: system plików drukarka aplikacja Dostępna lokalnie lub poprzez sieć Użytkownik Osoba fizyczna (korzystajaca z terminala) Inna aplikacja Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 2 / 26

Kerberos wprowadzenie Usługi sieciowe Użytkownicy i usługi Usługa Funkcjonalność, z której można (chcieć) korzystać, np.: system plików drukarka aplikacja Dostępna lokalnie lub poprzez sieć Użytkownik Osoba fizyczna (korzystajaca z terminala) Inna aplikacja Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 2 / 26

Kerberos wprowadzenie Usługi sieciowe Dostęp do usług w sieci Wymagania bezpieczeństwa identyfikacja klienta uwierzytelnienie klienta kontrola dostępu uwierzytelnienie serwera Architektura bezpieczeństwa 1 Dwie strony: wzajemne uwierzytelnianie kryptografia asymetryczna lub wcześniejsza wymiana kluczy 2 Trzecia strona: zdejmuje z serwera usługi obsługę bezpieczeństwa ujednolicona obsługa dla wszystkich usług Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 3 / 26

Kerberos wprowadzenie Usługi sieciowe Dostęp do usług w sieci Wymagania bezpieczeństwa identyfikacja klienta uwierzytelnienie klienta kontrola dostępu uwierzytelnienie serwera Architektura bezpieczeństwa 1 Dwie strony: wzajemne uwierzytelnianie kryptografia asymetryczna lub wcześniejsza wymiana kluczy 2 Trzecia strona: zdejmuje z serwera usługi obsługę bezpieczeństwa ujednolicona obsługa dla wszystkich usług Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 3 / 26

Kerberos wprowadzenie Usługi sieciowe Idea Single Sign On Kiedy Wiele różnych usług Ale o powiazanych politykach dostępu Ten sam użytkownik ma uprawnienia do wielu usług Rozwiazanie Zalety Niech użytkownik loguje się tylko jeden raz Możliwe realizacje: zapamiętanie hasła/klucza przez aplikację klienta systemy oparte o serwer uwierzytelnienia i przepustki, np. Kerberos Wygoda Ujednolicona architektura i polityka bezpieczeństwa Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 4 / 26

Kerberos wprowadzenie Usługi sieciowe Idea Single Sign On Kiedy Wiele różnych usług Ale o powiazanych politykach dostępu Ten sam użytkownik ma uprawnienia do wielu usług Rozwiazanie Zalety Niech użytkownik loguje się tylko jeden raz Możliwe realizacje: zapamiętanie hasła/klucza przez aplikację klienta systemy oparte o serwer uwierzytelnienia i przepustki, np. Kerberos Wygoda Ujednolicona architektura i polityka bezpieczeństwa Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 4 / 26

Kerberos wprowadzenie Usługi sieciowe Idea Single Sign On Kiedy Wiele różnych usług Ale o powiazanych politykach dostępu Ten sam użytkownik ma uprawnienia do wielu usług Rozwiazanie Zalety Niech użytkownik loguje się tylko jeden raz Możliwe realizacje: zapamiętanie hasła/klucza przez aplikację klienta systemy oparte o serwer uwierzytelnienia i przepustki, np. Kerberos Wygoda Ujednolicona architektura i polityka bezpieczeństwa Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 4 / 26

Kerberos wprowadzenie Kerberos Kerberos historia Narodziny w MIT w ramach projektu Athena, lata 80-te XX wieku Wersje robocze do nr 3 Wersja 4, koniec lat 80-tych stosowana do dziś Wersja 5 (1993, RFC 1510) rozszerzenie funkcjonalności i uszczelnienie bezpieczeństwa (szczegóły dalej) W 2005 roku RFC 4120 głównie poprawki redakcyjne Cerber mityczny trzygłowy pies strzegacy Hadesu Źródło obrazka: Wikipedia Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 5 / 26

Projekt Athena Kerberos wprowadzenie Kerberos MIT, DEC, IBM, lata 1983 1991 Rozproszone środowisko różniacych się maszyn, umożliwiajace swobona pracę z dowolnego terminala Wynalazki: Kerberos duży udział w rozwoju X Windows pierwszy komunikator internetowy Zephyr system usług katalogowych Hesiod Różne odmiany stosowane do dziś w sieciach uczelnianych Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 6 / 26

Kerberos wprowadzenie Kerberos Kerberos założenia Kryptografia symetryczna Hasło nigdy nie przesyłane otwartym tekstem Hasło (nawet zaszyfrowane) nie przechowywane u klienta dłużej niż na potrzeby uwierzytenienia Hasło nigdzie nie przechowywane niezaszyfrowane Hasło wystarczy podać raz na sesję, nawet na potrzeby wielu usług (Single Sign On) Wyznaczony serwer uwierzytelnienia Serwery usług bez informacji zwiazanych z uwierzytelnianiem Uwierzytelnienie w obie strony Wsparcie dla ustalania klucza sesji Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 7 / 26

Kerberos wprowadzenie Jak działa Kerberos ogólnie Kerberos W systemie mamy do czynienia ze: stronami (użytkownicy, usługi itp.), przepustkami, centrum dystrybucji kluczy (KDC). Strony posiadajac ważne przepustki sa w stanie: identyfikować się, bezpiecznie się komunikować. Uwierzytelnianie na podstawie przepustek można dołożyć do dowolnej aplikacji. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 8 / 26

Kerberos wprowadzenie Gdzie się używa Kerberosa? Kerberos Protokoły sieciowe różne poziomy abstrakcji najczęściej przy korzystaniu z protokołów aplikacji, np. w TELNET, FTP (warstwa 7. ISO/OSI); czasami dodaje się ja do zapewnienia bezpieczeństwa w warstwie sesji, np. w SSH, RPC, CORBA (warstwa 5. ISO/OSI); można tego użyć też na niższych poziomach, np. w IP, UDP, TCP (warstwy 4. i 3. ISO/OSI). Systemy Windows od Windows 2000 domyślny system uwierzytelnienia w sieci. Mac OS X, Linux i BSD implementacje dostępne. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 9 / 26

Kerberos wprowadzenie Kerberos Wybrane implementacje Kerberosa MIT Kerberos najpowszechniejsza niekomercyjna wersja. Heimdal otwarta implementacja oparta o ebones, napisana w Szwecji w czasie gdy USA zabraniały eksportu MIT-Kerberosa. ShiShi inna otwarta implementacja. Windows 2000 Kerberos, kontynuowana w kolejnych Windowsach. Implementacja Suna dla Javy (w ramach Java Generic Security Service API i Java Authentication and Authorization Service). Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 10 / 26

Kerberos schemat działania Schemat Needhama-Schrödera Schemat działania Kerberosa komunikacja W protokole biora udział 3 węzły komunikacyjne: A klient jakiejś usługi, B serwer tejże usługi, S centrum dystrybucji kluczy. Protokół oparty na schemacie Needhama-Schrödera. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 11 / 26

Kerberos schemat działania Schemat Needhama-Schrödera Schemat Needhama-Schrödera Komunikacja Komunikat 1. A S A, B, N A 2. S A {N A, B, K AB, {K AB, A} KB } KA 3. A B {K AB, A} KB 4. B A {N B } KAB 5. A B {N B 1} KAB Oznaczenia: A nazwa klienta, B nazwa serwera, K A tajny klucz klienta, K B tajny klucz serwera, K AB tajny klucz sesji między A i B, N A identyfikator jednorazowy A, {M} K komunikat M zaszyfrowany kluczem K. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 12 / 26

Kerberos schemat działania Wady scentralizowanego rozwiazania Zmodyfikowany schemat Needhama-Schrödera Słabości Klient za każdym razem musi prosić o nowa przepustkę (w praktyce wiaże się to z wpisywaniem hasła). Z kolei przepustki wielorazowe moga stać się ofiara ataku powtórzeniowego. Przepustka z czasem ważności problem z dobraniem bezpiecznego ale wygodnego czasu. Rozwiazanie Dodatkowo rozdzielamy funkcje uwierzytelnienia i wydawania przepustek mamy 2 serwery: serwer uwierzytelnienia (KDC) i serwer przepustek (TGS). Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 13 / 26

Kerberos schemat działania Wady scentralizowanego rozwiazania Zmodyfikowany schemat Needhama-Schrödera Słabości Klient za każdym razem musi prosić o nowa przepustkę (w praktyce wiaże się to z wpisywaniem hasła). Z kolei przepustki wielorazowe moga stać się ofiara ataku powtórzeniowego. Przepustka z czasem ważności problem z dobraniem bezpiecznego ale wygodnego czasu. Rozwiazanie Dodatkowo rozdzielamy funkcje uwierzytelnienia i wydawania przepustek mamy 2 serwery: serwer uwierzytelnienia (KDC) i serwer przepustek (TGS). Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 13 / 26

Kerberos schemat działania Zmodyfikowany schemat Needhama-Schrödera Zmodyfikowany schemat Needhama-Schrödera Kerberos v4 Komunikacja Komunikat 1. A KDC A, TGS, N 2. KDC A {K A,tgs, N, {T (A, TGS)} Ktgs } KA 3. A TGS {V (A)} KA,tgs, {T (A, TGS)} Ktgs, B, N 4. TGS A {K A,B, N, {T (A, B)} KB } KA,tgs 5. A B {V (A)} KA,B, {T (A, B)} KB, zamówienie, N 6. B A {N} KA,B Poświadczenie: V (X) = X, t Przepustka: T (X, Y ) = X, Y, t 1, t 2, K XY Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 14 / 26

Kerberos schemat działania Zmodyfikowany schemat Needhama-Schrödera Zmodyfikowany schemat Needhama-Schrödera Kerberos v5 Komunikacja Komunikat 1. A KDC A, TGS, N 2. KDC A {K A,tgs, N} KA, {T (A, TGS)} Ktgs 3. A TGS {V (A)} KA,tgs, {T (A, TGS)} Ktgs, B, N 4. TGS A {K A,B, N} KA,tgs, {T (A, B)} KB 5. A B {V (A)} KA,B, {T (A, B)} KB, zamówienie, N 6. B A {N} KA,B Poświadczenie: V (X) = X, t Przepustka: T (X, Y ) = X, Y, t 1, t 2, K XY Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 15 / 26

Kerberos schemat działania Zmodyfikowany schemat Needhama-Schrödera Niektóre różnice między wersjami 4 a 5 Dokładniejsze określenie czasów (w wersji 4 z dokładnościa do 5 minut, max 21 godzin). Przepustki krótko ważne, ale z możliwościa przedłużenia ważności po sprawdzeniu w TGS. Opcje (flagi) w przepustkach. Wybór algorytmu szyfrowania (w v4 pojedynczy DES) i protokołu sieci. Zmiana niebezpiecznego trybu DES PCBC na CBC. Kolejność bajtów zgodnie ze standardami (w v4 konfigurowalna). Domeny i przekazywanie uwierzytelnienia. Optymalizacja obliczeniowa (w v4 podwójne szyfrowanie niektórych pól). Zalecenie by klucz sesji na potrzeby realizacji usługi był renegocjowany nawet gdy korzystamy z tego samego biletu (ryzyko ataku potwórzeniowego). Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 16 / 26

Kerberos schemat działania Domeny Identyfikacja stron w Kerberosie Identyfikator składa się z trzech elementów: podstawa (ang. primary), instancja (ang. instance), domena (ang. realm). np. czarnik/praca@mimuw.edu.pl Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 17 / 26

Kerberos schemat działania Domeny Trochę o domenach Kerberosa W dużej sieci komputery KDC i TGS moga stać się waskim gardłem. Dlatego wprowadzono możliwość rozbicia jednego serwisu Kerberosa na wiele (domen) każda domena ma własne KDC i TGS. Konieczny jest jednak mechanizm delegacji odpowiedzialności jedna domena (TGS) rejestruje się w drugiej (odległej) domenie (RTGS). Zwiększa się liczba wymian: A TGS RTGS B. Czasami konieczne jest wprowadzenie wielu pośredników. Nazwa każdego z nich pojawia się w przepustce. Konieczne jest wprowadzenie hierarchii. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 18 / 26

Kerberos schemat działania Opcje (flagi) przepustek Opcje przepustek Przepustki poczatkowe wydane bezpośrednio przez KDC serwera, do którego się odnosimy. Przepustki wstępnie uwierzytelnione wydane na podstawie informacji z jakiegoś wstępnego mechanizmu uwierzytelnienia, np. za pomoca karty chipowej. Ta własność jest dziedziczona między różnymi TGS. Przepustki nieważne stosowane do wykonywania operacji wsadowych; można zażyczyć sobie wydanie przepustki ważnej w przyszłości, centrum usunie bit nieważności w odpowiednim momencie. Przepustki przesunięte w czasie j.w. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 19 / 26

Kerberos schemat działania Opcje przepustek c.d. Opcje przepustek Przepustki odnawialne bezpieczniej jest mieć wiele przepustek na krótkie okresy niż jedna na długi okres czasu. Takie przepustki maja 2 czasy: kiedy przepustka się unieważnia i o ile można ja przedłużyć poza ten czas (przykład). Przepustki pośrednikowe czasami chcemy, aby jakiś serwis w naszym imieniu wykonywał jakieś operacje. Możemy scedować nasze prawa do takiego serwisu za pomoca przepustki powyższego rodzaju. W przepustkach tego typu podana jest jawna lista serwisów, które moga z nich korzystać. Przepustki takie nie moga służyć do wydawania przepustek. Przepustki do przekazywania j.w., ale moga służyć do wydawania przepustek. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 20 / 26

Serwer uwierzytelnień Baza danych Baza danych Kerberosa name identyfikator strony; key klucz tajny strony; p_kvno numer wersji klucza strony; max_life maksymalny czas życia przepustki; max_renewable_life maksymalny całkowity czas życia dla przepustek odnawialnych. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 21 / 26

Serwer uwierzytelnień Baza danych Dodatkowe pola bazy (Athena) K_kvno numer wersji klucza Kerberosa, expiration moment unieważnienia pozycji, attributes bitowy wektor atrybutów, mod_date moment ostatniej modyfikacji, mod_name identyfikator strony, która ostatnio modyfikowała. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 22 / 26

Serwer uwierzytelnień Konfiguracja Stałe w Kerberosie Minimalny czas życia przepustki powinien uwzględniać spotykane czasy podróży w dwie strony, czasy szyfrowania i deszyfrowania oraz czas przetwarzania komunikatu. Maksymalny dopuszczalny czas pojedynczego odnowienia przepustki. Maksymalny dopuszczalny czas życia przepustki. Informację, czy dopuszczalne jest wydawanie przepustek z pustym polem adresu. Czy moga być wydawane przepustki pośrednikowe, do przekazywania, odnawialne oraz na inne daty. Patryk Czarnik (MIMUW) 08 Kerberos BSK 2009/10 23 / 26

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres