Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 320kerberos:start [le 11/02/2010 à 16:26] – prof
+++ 320kerberos:start [le 30/06/2018 à 15:56] (Version actuelle) – prof
@@ Ligne 3: / Ligne 3: @@
 Dans les systèmes d'information, kerberos est tout autre chose. Il s'agit d'un protocole d'authentification en réseau, dont les principales caractéristiques sont :
-  * Authentification sécurisée : le mot de passe de l'utilisateur ne circule pas sur le réseau, nous verrons par quel prodige ;
+  * authentification sécurisée : le mot de passe de l'utilisateur ne circule jamais sur le réseau, nous verrons par quel prodige ;
-  * Authentification unique pour plusieurs services : SSO (Single Sign On), l'utilisateur n'a pas à se ré-authentifier chaque fois qu'il utilise un nouveau service qui le nécessite ;
+  * authentification unique pour plusieurs services : SSO (Single Sign On), l'utilisateur n'a pas à se ré-authentifier chaque fois qu'il utilise un nouveau service qui nécessite un droit d'accès ;
+  * le réseau est « ouvert », autrement dit, c'est un bouge où tout le monde cherche à voler l'information qui circule. Kerberos propose donc une série de mécanismes fondés sur la cryptographie à clé symétrique, pour :
+    * éviter qu'un indiscret puisse se faire passer pour qui il n'est pas ;
+    * éviter qu'un indiscret « rejoue » un dialogue qu'il a enregistré sur le réseau ;
+    * permettre à chaque partenaire dans un dialogue de s'authentifier vis-à-vis de l'autre.
-Ce protocole a été créé au MIT [[http://web.mit.edu/kerberos/|Massachusetts Institute of Technology]], puis normalisé dans sa version 5 dans les [[http://www.ietf.org/rfc/rfc1510.txt|RFC 1510]] en 1993, rendu obsolète par les [[http://www.ietf.org/rfc/rfc4120.txt|RFC 4120]] en 2005. Avant, il y a eu la version 4 dont on entend encore parler, les versions précédentes n'étant restées qu'au stade de « proof of concept ». Autant dire que kerberos n'est plus vraiment une nouveauté.
+Kerberos ne fait tout de même pas de miracles et ne saurait à lui seul garantir l'intégrité de chaque protagoniste. En particulier :
+  * il ne sait pas déjouer les attaques par déni de service ;
+  * il ne sait pas détecter le vol de clés secrètes, il est de la responsabilité des partenaires de protéger eux-mêmes leurs clés d'un vol ;
+  * il ne sait pas déjouer les attaques par dictionnaire sur les mots de passe ;
+  * il n'est pas fait pour rendre les échanges confidentiels bien que ceci puisse se faire avec des extensions, il n'est là que pour authentifier des utilisateurs et des services.
-Pourquoi s'intéresser à kerberos ? Pour ses avantages bien sûr, et aussi parce que Microsoft a introduit (en le torturant quelque peu, nous savons tous le mal que cette entreprise éprouve à respecter scrupuleusement une norme) ce protocole dans « Active Directory » à partir de Windows 2000 Server.
+Ce protocole a été créé au MIT [[http://web.mit.edu/kerberos/|Massachusetts Institute of Technology]], puis normalisé dans sa version 5 dans les [[http://www.ietf.org/rfc/rfc1510.txt|RFC 1510]] en 1993, rendu obsolète par les [[http://www.ietf.org/rfc/rfc4120.txt|RFC 4120]] en 2005. Avant, il y a eu la version 4 dont on entend encore parler, mais qui n'est plus maintenue. Les versions précédentes n'étant restées qu'au stade de « proof of concept ». Autant dire que kerberos n'est plus vraiment une nouveauté.
-Pour les gens qui comme moi sont astreints à gérer ce genre de serveurs, autant essayer d'en tirer profit quand c'est possible.
-Nous allons d'abord essayer de comprendre comment fonctionne cette usine à gaz (kerberos), le mettre en œuvre dans une solution 100% GPL (plus facile pour comprendre ce que l'on fait).
-Nous verrons enfin ce que l'on peut tirer du Cerbère caché dans Active Directory.
+Pourquoi s'intéresser à kerberos ? Pour ses avantages bien sûr. Nous allons d'abord essayer de comprendre comment fonctionne cette usine à gaz sulfureux (kerberos), la mettre en œuvre dans une solution 100% GPL.