Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 320kerberos:start [le 11/02/2010 à 16:26] – prof
+++ 320kerberos:start [le 30/06/2018 à 15:56] (Version actuelle) – prof
@@ Ligne 1: / Ligne 1: @@
 ====== Kerberos ======
-{{:320kerberos:krb.png |kerberos}}
 Cerbère (Κέρβερος en grec ancien), animal mythique représenté par un chien à plusieurs têtes (traditionnellement trois), a pour principale fonction d'empêcher ceux que Charon a menés de l'autre côté du Styx de faire le voyage dans l'autre sens. Éventuellement, il peut même servir à empêcher les touristes qui voudraient traverser le Styx sans passer par les services de Charon.
 Dans les systèmes d'information, kerberos est tout autre chose. Il s'agit d'un protocole d'authentification en réseau, dont les principales caractéristiques sont :
-  * Authentification sécurisée : le mot de passe de l'utilisateur ne circule pas sur le réseau, nous verrons par quel prodige ;
+  * authentification sécurisée : le mot de passe de l'utilisateur ne circule jamais sur le réseau, nous verrons par quel prodige ;
-  * Authentification unique pour plusieurs services : SSO (Single Sign On), l'utilisateur n'a pas à se ré-authentifier chaque fois qu'il utilise un nouveau service qui le nécessite ;
+  * authentification unique pour plusieurs services : SSO (Single Sign On), l'utilisateur n'a pas à se ré-authentifier chaque fois qu'il utilise un nouveau service qui nécessite un droit d'accès ;
+  * le réseau est « ouvert », autrement dit, c'est un bouge où tout le monde cherche à voler l'information qui circule. Kerberos propose donc une série de mécanismes fondés sur la cryptographie à clé symétrique, pour :
+    * éviter qu'un indiscret puisse se faire passer pour qui il n'est pas ;
+    * éviter qu'un indiscret « rejoue » un dialogue qu'il a enregistré sur le réseau ;
+    * permettre à chaque partenaire dans un dialogue de s'authentifier vis-à-vis de l'autre.
-Ce protocole a été créé au MIT [[http://web.mit.edu/kerberos/|Massachusetts Institute of Technology]], puis normalisé dans sa version 5 dans les [[http://www.ietf.org/rfc/rfc1510.txt|RFC 1510]] en 1993, rendu obsolète par les [[http://www.ietf.org/rfc/rfc4120.txt|RFC 4120]] en 2005. Avant, il y a eu la version 4 dont on entend encore parler, les versions précédentes n'étant restées qu'au stade de « proof of concept ». Autant dire que kerberos n'est plus vraiment une nouveauté.
+Kerberos ne fait tout de même pas de miracles et ne saurait à lui seul garantir l'intégrité de chaque protagoniste. En particulier :
+  * il ne sait pas déjouer les attaques par déni de service ;
+  * il ne sait pas détecter le vol de clés secrètes, il est de la responsabilité des partenaires de protéger eux-mêmes leurs clés d'un vol ;
+  * il ne sait pas déjouer les attaques par dictionnaire sur les mots de passe ;
+  * il n'est pas fait pour rendre les échanges confidentiels bien que ceci puisse se faire avec des extensions, il n'est là que pour authentifier des utilisateurs et des services.
-Pourquoi s'intéresser à kerberos ? Pour ses avantages bien sûr, et aussi parce que Microsoft a introduit (en le torturant quelque peu, nous savons tous le mal que cette entreprise éprouve à respecter scrupuleusement une norme) ce protocole dans « Active Directory » à partir de Windows 2000 Server.
+Ce protocole a été créé au MIT [[http://web.mit.edu/kerberos/|Massachusetts Institute of Technology]], puis normalisé dans sa version 5 dans les [[http://www.ietf.org/rfc/rfc1510.txt|RFC 1510]] en 1993, rendu obsolète par les [[http://www.ietf.org/rfc/rfc4120.txt|RFC 4120]] en 2005. Avant, il y a eu la version 4 dont on entend encore parler, mais qui n'est plus maintenue. Les versions précédentes n'étant restées qu'au stade de « proof of concept ». Autant dire que kerberos n'est plus vraiment une nouveauté.
-Pour les gens qui comme moi sont astreints à gérer ce genre de serveurs, autant essayer d'en tirer profit quand c'est possible.
-Nous allons d'abord essayer de comprendre comment fonctionne cette usine à gaz (kerberos), le mettre en œuvre dans une solution 100% GPL (plus facile pour comprendre ce que l'on fait).
-Nous verrons enfin ce que l'on peut tirer du Cerbère caché dans Active Directory.
+Pourquoi s'intéresser à kerberos ? Pour ses avantages bien sûr. Nous allons d'abord essayer de comprendre comment fonctionne cette usine à gaz sulfureux (kerberos), la mettre en œuvre dans une solution 100% GPL.