Kerberos هو بروتوكول مصادقة شبكة يستخدم تذاكر مشفرة لتمرير المعلومات عبر شبكات غير آمنة. تقدم مصادقة Kerberos العديد من المزايا مقارنة بأساليب مصادقة الشبكة الأخرى ، بحيث يمكن للعقد التي تتواصل مع بعضها البعض أن تثق في أن المعلومات التي تتلقاها موثوقة وموثوقة ، وأن الجلسات المستقبلية ستتمتع بنفس المصداقية.
المصادقة المتبادلة
عندما تبدأ عقدتان - مثل عميل وخادم أو خادم وخادم - الاتصالات ، فإنها تمرر تذاكر مشفرة من خلال نظام موثوق به تابع لجهة خارجية يسمى Key Distribution Center. يمرر مركز توزيع المفاتيح (KDC) بطاقة سرية تحتوي على مفتاح فك تشفير إلى كلا العقدتين. ثم تقوم العقد بتمرير طوابع زمنية مشفرة لبعضها البعض واستخدام المفتاح لفك تشفيرها. إذا قاموا بذلك بنجاح ، فإنهم يصادقون على نظرائهم ويمكن أن يثقوا ببعضهم البعض طالما ظلت الجلسة مفتوحة.
كلمات السر
عندما يحاول الخادم مصادقة كمبيوتر عميل باستخدام بروتوكول Kerberos ، لا يتعين على العميل إرسال كلمة مرور - بفضل المصادقة المتبادلة ، يمتلك كل من العميل والخادم المعلومات اللازمة لفك تشفير التذاكر. هذا يعني أن أي متشمم حزم يتنصت على الاتصال لن يتمكن من الوصول إلى كلمات مرور العميل أو الخادم ، ناهيك عن أي معلومات أخرى تم تمريرها أثناء الجلسة.
الجلسات المتكاملة
عندما تتم مصادقة عقدة العميل على شبكة مدعومة من Kerberos ، فإنها تتلقى بطاقة عميل ذات طابع زمني لانتهاء الصلاحية. طالما لم تنته صلاحية التذكرة ، يمكن للعميل استخدامها للوصول إلى أي خدمة شبكة أخرى تدعم مصادقة Kerberos دون الحاجة إلى إعادة المصادقة نفسها. إذا كانت جلسة العميل على الشبكة لا تزال نشطة ولكن انتهت صلاحية التذكرة ، فيجوز للعميل طلب تذكرة جديدة.
الجلسات المتجددة
بمجرد مصادقة العميل والخادم على بعضهما البعض ، لن يضطروا إلى القيام بذلك مرة أخرى. كجزء من المصادقة المتبادلة ، يتلقى العميل بيانات الاعتماد من الخادم. عندما يبدأ العميل جلسة مستقبلية ، فإنه يرسل بيانات اعتماده إلى الخادم الذي يتعرف عليها ويصادق العميل على الفور. هذا يلغي الحاجة إلى مركز توزيع المفاتيح ، بحيث يمكن للعقدتين إنشاء اتصال آمن بشكل أسرع مما فعلته أثناء جلستهما الأولى.
