17.3. Modo en que funciona Kerberos
Kerberos es diferente a los otros métodos de autenticación. En vez de validar cada usuario para cada servicio de red, Kerberos usa una aplicación de terceros que usa un sistema de encriptación simétrica — conocida como Centro de distribución de claves (KDC) — para autentificar los usuarios a un conjunto de servicios de red. Una vez que el usuario se ha autentificado al KDC, se le envía un ticket específico para esa sesión de vuelta a la máquina del usuario y cualquier servicio kerberizado buscará por el ticket en la máquina del usuario en vez de preguntarle al usuario que se autentifique usando una contraseña.
Cuando un usuario en una red kerberizada se registra en su estación de trabajo, su principal se envía al KDC en una petición para un Ticket Granting Ticket (TGT) desde el Ticket Granting Service (TGS). Esta petición puede ser enviada por el programa login (para que sea transparente al usuario) o puede ser enviada por el programa kinit después de que el usuario se registre.
El KDC verifica el principal en su base de datos. Si lo encuentra, el KDC le dice al TGS que cree un TGT, lo encripta usando las claves del usuario y l o devuelve al usuario.
El programa login en la máquina del cliente o kinit descifra el TGT usando la contraseña del usuario La contraseña del usuario es usada únicamente en la máquina del cliente y no es enviada sobre la red.
El TGT, que caduca después de un cierto período de tiempo (usualmente 10 horas), es almacenado en la caché de credenciales de la máquina del cliente. Se coloca un tiempo de caducidad de manera que un TGT comprometido sólo es de utilidad para un intruso por un período corto de tiempo. Una vez que el TGT es emitido, el usuario no podrá reingresar la contraseña al KDC hasta que el TGT caduque o se desconecte y vuelva a conectarse.
Cuando el usuario necesita acceder a un servicio de red, el cliente usa el TGT para pedir un ticket para ese servicio en específico al Ticket Granting Service (TGS). El TGS emite un ticket por el servicio deseado, que se usa para autentificar el usuario de forma transparente.
 | Aviso |
|---|---|
El sistema Kerberos se vuelve vulnerable cada vez que un usuario en la red se valida contra un servicio no kerberizado y envía una contraseña en la red en texto plano. Por lo tanto no se recomienda el uso de servicios no kerberizados. Estos servicios incluyen Telnet y FTP. Se acepta el uso de otro tipo de protocolos encriptados, tales como SSH o servicios seguros SSL, pero no es ideal. |
Esto es sólo una descripción general de cómo la autenticación Kerberos funciona en las redes, si necesita una explicación más detallada sobre el funcionamiento de kerberos, vea Sección 17.7.
 | Nota |
|---|---|
Kerberos depende de ciertos servicios de la red para trabajar correctamente. Primero, Kerberos necesita una sicronización de reloj entre los ordenadores y su red. Si no ha configurado un programa de sincronización de reloj para su red, como por ejemplo ntpd debería hacerlo. Para más información sobre la configuración de ntpd, vea /usr/share/doc/ntp-<version-number>/index.htm. Ya que ciertos aspectos de kerberos se apoyan en el Domain Name System (DNS), debe asegurarse de que las entradas DNS y los hosts en su red están configuradas correctamente. Vea el Manual del administrador Kerberos V5 , proporcionado en PostScript y formatos HTML en /usr/share/doc/krb5-server-<version-number> para más información. |