Vales de Kerberos

Existen dos tipos de vales en un sistema de seguridad Kerberos: los vales de obtención de vales y los vales de servicio. Para acceder a una aplicación protegida por Kerberos, primero es necesario obtener un vale de obtención de vales (o TGT, ticket-granting ticket).

Vales de obtención de vales

Cuando un usuario solicita acceso a un servicio para el que se requiere la autenticación Kerberos, el centro de distribución de claves genera un vale de obtención de vales que consiste en el nombre de la entidad de seguridad del usuario, la duración de vale y una clave de sesión exclusiva, todo ello cifrado mediante la clave maestra del centro de distribución de claves (o KDC). El centro de distribución de claves devuelve este vale de obtención de vales al cliente Kerberos, junto con una copia de la clave de sesión exclusiva previamente cifrada mediante una clave basada en la contraseña del usuario. Si el cliente Kerberos puede descifrar la clave de sesión (lo que demuestra que el usuario conoce la contraseña), podrá utilizar la clave de sesión y el vale de obtención de vales para obtener un vale de servicio.

Una vez concedido este vale TGT válido, el cliente Kerberos podrá obtener los vales de servicio en esta entidad de seguridad que necesite para acceder a una aplicación protegida por Kerberos, durante la validez del TGT. El usuario podrá acceder a las aplicaciones protegidas por Kerberos todas las veces que sea necesario sin tener que solicitar otro vale de obtención de vales, siempre que el vale TGT no haya caducado.

Vale renovable es un vale de obtención de vales especial en el que un indicador señala que se puede renovar. Cuando un vale de obtención de vales está a punto de caducar, el usuario puede solicitar la renovación de dicho vale. Si el TGT es renovable, el centro de distribución de claves envía al cliente Kerberos un nuevo vale TGT que es válido durante el período de tiempo definido en la ficha Kerberos del cuadro de diálogo Propiedades de seguridad. La duración máxima y la cantidad de renovaciones las define el administrador del sistema del centro de distribución de claves.

Un vale reenviable es un vale de obtención de vales que se puede enviar a otro host para conseguir vales de servicio para servicios adicionales sin tener que repetir el proceso de autenticación con el KDC. Los vales que se han reenviado una vez se pueden volver a reenviar.

Vales de servicio

Para tener acceso a un servicio que requiere autenticación Kerberos, la aplicación cliente debe presentar un vale de servicio válido. Cuando un cliente Kerberos envía un pedido de vale de servicio junto con un vale TGT válido, el centro de distribución de claves emite un vale de servicio que consiste en el nombre de la entidad de seguridad del usuario, una nueva clave de sesión para la estación de trabajo, y el servicio que se utilizará en esta sesión, todo ello cifrado mediante la clave maestra del servicio. El centro de distribución de claves envía el vale de servicio al cliente Kerberos con el nombre del servicio solicitado y una copia de la nueva clave de sesión, que cifrará mediante la clave de sesión original del vale TGT.

El cliente Kerberos utilizará la clave de sesión original para descifrar este mensaje y poder extraer el vale de servicio y la clave que utilizará para iniciar una sesión con el servicio.

En general, la validez de un vale de servicio se corresponde con la duración del vale TGT. Deberá obtenerse un nuevo vale de servicio para iniciar sesión en otro host, y puede que también al solicitar otro servicio dentro del mismo host.