3.1. L'échange du service d'authentification
Vue d'ensemble
L'échange du service d'authentification (Authentication Service, AS) est la première interaction entre un client et le système Kerberos. Il aboutit à ce que le client obtienne un ticket d'octroi de tickets (Ticket-Granting Ticket, TGT) utilisable pour les demandes de tickets ultérieures.
Flux des messages
- KRB_AS_REQ : le client envoie une demande d'authentification à l'AS
- KRB_AS_REP : l'AS répond avec le TGT et la clé de session (chiffrés dans la clé du client)
- KRB_ERROR : renvoyé si la demande ne peut pas être satisfaite
Éléments clés
Génération du message KRB_AS_REQ
Le client construit une demande contenant :
- le nom du principal
- le domaine (realm)
- les options de ticket demandées
- l'horodatage (pour la pré-authentification)
- les préférences de type de chiffrement
Réception et traitement
L'AS valide la demande et vérifie :
- que le principal existe dans la base
- les exigences de pré-authentification
- les contraintes de politique
- les options demandées
Génération du message KRB_AS_REP
Si la demande est valide, l'AS construit une réponse contenant :
- le TGT (chiffré dans la clé du TGS)
- la clé de session (chiffrée dans la clé du client)
- les durées d'expiration du ticket
Gestion des erreurs
Si la demande ne peut pas être satisfaite, un message KRB_ERROR est renvoyé avec le code d'erreur approprié.
Considérations de sécurité
- la clé à long terme du client sert à protéger la réponse de l'AS
- la pré-authentification peut être exigée pour limiter les attaques par dictionnaire hors ligne
- l'horodatage dans la demande apporte une protection contre la relecture
Sous-sections associées
- 3.1.1. Génération du message KRB_AS_REQ
- 3.1.2. Réception du message KRB_AS_REQ
- 3.1.3. Génération du message KRB_AS_REP
- 3.1.4. Génération du message KRB_ERROR
- 3.1.5. Réception du message KRB_AS_REP
- 3.1.6. Réception du message KRB_ERROR
Référence
Pour les détails techniques complets, voir RFC 4120, section 3.1.