Kerberos nasıl çalışır
Kerberos, Anahtar Dağıtım Merkezi (KDC) adlı güvenilir bir üçüncü tarafın etrafında döner; Active Directory ortamlarında KDC her etki alanı denetleyicisinde bulunur. Kullanıcı oturum açtığında istemci, parolayı bildiğini kriptografik olarak kanıtlar ve yalnızca KDC'nin okuyabileceği biçimde şifrelenmiş, süreli bir kimlik bilgisi olan bilet verme bileti (TGT) alır. Parolanın kendisi ağı hiç geçmez.
Dosya paylaşımı veya intranet sitesi gibi bir servise ulaşmak için istemci, TGT'sini KDC'ye sunar ve o servise özel bir servis bileti ister. Servis bileti, servis hesabının sırrından türetilen bir anahtarla şifrelenir; böylece servis bileti çözebilir ve içindeki kimliğe KDC'ye başvurmadan güvenebilir. Biletler zaman damgası ve ömür taşır; Kerberos'un saatlerin eşitlenmesini şart koşmasının nedeni budur. Karşılıklı kimlik doğrulama, istemcinin servisi de doğrulamasına imkân verir.
Kerberos neden önemli
Kerberos, Windows etki alanının kimlik doğrulama motorudur ve etki alanına katılmış makinelerin kesintisiz tek oturum açma sunmasının nedenidir: kullanıcı bilgisayarında bir kez oturum açar; dosya sunucularına, yazıcılara, intranet uygulamalarına ve SQL Server örneklerine tekrar sorulmadan ulaşır. Tümleşik Windows Kimlik Doğrulaması (IWA) olarak görünen bu masaüstü ve tarayıcı deneyimi, web SSO'dan onlarca yıl eskidir ve AD'ye katılmış Linux sistemleri dahil devasa bir kurulu tabanı hâlâ kapsar.
Tasarımı, anlaşılması gereken iki ucu keskin bir kılıçtır. Servis biletleri, servis hesabı parolalarından türetilen anahtarlarla şifrelendiğinden, zayıf parolalar Kerberoasting saldırısına imkân verir: herhangi bir etki alanı kullanıcısı bilet ister ve bunları çevrimdışı kırar. KDC'nin krbtgt hesabının ele geçirilmesi ise Golden Ticket sahteciliğine yol açar; anahtar iki kez döndürülene dek saldırgana istediği kimliği verir. Kerberos'u savunmak; uzun ve rastgele servis hesabı parolaları, modern şifreleme türleri ve anormal bilet hareketlerinin izlenmesi demektir.
Uygulamada Kerberos
Etki alanı içinde SPN'ler (servis asıl adları) doğru kaydedildiği ve saatler eşit olduğu sürece Kerberos çoğunlukla kendiliğinden çalışır; yanlış yapılandırılmış SPN'ler ve daha zayıf NTLM protokolüne sessiz geri dönüşler klasik sorun kaynaklarıdır. NTLM'in hâlâ nerede kullanıldığını denetleyip kaldırmak yaygın bir sıkılaştırma projesidir.
Stratejik soru, Kerberos'un modern kimlikle nasıl bir arada yaşayacağıdır. Bulut uygulamaları onu konuşmaz; bu yüzden kurumlar iki dünyayı köprüler: masaüstündeki Kerberos oturumu bir federasyon platformu için ilk faktör olur ve platform geri kalan her şey için SAML veya OIDC jetonları üretir. Monosign, tam da bu köprünün parçası olarak Kerberos tabanlı tümleşik Windows kimlik doğrulamasını destekler ve etki alanına katılmış kullanıcıları kimlik bilgilerini yeniden yazmadan modern SSO'ya taşır.