a good thing!
Kerberos est un protocole d’authentification réseau sans mot de passe, créé par le MIT pour aider à résoudre des problèmes de sécurité. Utilisé pour le single-sign on (SSO) par de nombreuses organisations, il transmet en toute sécurité les données d’identité de l’utilisateur à des applications et inclut deux fonctions importantes : l’authentification et la sécurité.
Au lieu d’utiliser des mots de passe traditionnels, Kerberos utilise un chiffrement robuste et à durée limitée, de multiples clés secrètes et un service tiers pour authentifier des applications client-serveur et des identités utilisateur. En créant Kerberos, les développeurs du MIT désiraient associer à la fois authentification et autorisation afin qu’une fois qu’un utilisateur a été authentifié, il soit aussi autorisé.
Kerberos est un processus complexe en arrière-plan mais offre une expérience quasi transparente côté utilisateur. Dans cet article, nous aborderons comment se présente Kerberos pour l’utilisateur, décrirons pourquoi ce protocole est important et examinerons en détail son fonctionnement.
Aujourd’hui, les employés d’aujourd’hui utilisent de multiples terminaux (ordinateurs portables, smartphones, tablettes) et veulent pouvoir accéder à tout moment et depuis n’importe où aux systèmes de leur organisation et à des applis tierces. Étant donné que chaque ressource demande aux utilisateurs de vérifier leur identité, il pourrait être très chronophage de demander aux employés de se connecter à chacun d’entre eux. Lorsque Kerberos est utilisé, les employés sont automatiquement authentifiés pour accéder à toutes les ressources du réseau et aux nombreux systèmes tiers avec le SSO. Cela signifie qu’une fois qu’ils se connectent à un appareil, ils peuvent accéder à de multiples ressources depuis le même appareil sans devoir s’authentifier une nouvelle fois (sauf si l’emplacement ou un autre facteur a changé).
EXEMPLE
Josh s’installe à son bureau à 9 heures précises. Il a peur d’être en retard à son rdv de 9 heures. sur Zoom, donc il se connecte rapidement sur son ordinateur.
Étant donné que son entreprise utilise Kerberos, il n’a pas besoin de se connecter sur Zoom. Il lui suffit de se connecter sur le lien Zoom, il est alors automatiquement authentifié et peut rejoindre la réunion.
L’expérience de Josh avec Kerberos est semblable à celle d’un interrupteur d’éclairage : Il sait qu’il allume la lumière, mais il n’a pas besoin de savoir comment cela fonctionne pour profiter de cette lumière. Avec Kerberos, Josh n’a pas besoin savoir ce qui se passe en coulisses ; il a juste besoin de savoir que son identité est partagée en toute sécurité sur les différents systèmes de son réseau. Il apprécie le temps qu’il économise en n’ayant pas à se connecter à chaque application.
Comme indiqué ci-dessus, le MIT a créé Kerberos pour résoudre le problème éprouvé par les entreprises pour fournir un accès sécurisé 24h/24 et 7j/7 aux ressources des entreprises, depuis n’importe quel appareil approuvé. Kerberos est sécurisé car les mots de passe ne sont jamais partagés sur le réseau. Au lieu de cela, ce sont des clés privées chiffrées qui sont utilisées. En coulisses, tous les appareils et tous les systèmes s’authentifient automatiquement les uns les autres à la demande, en échangeant plusieurs clés privées chiffrées avec le protocole Kerberos. Pendant ce processus, les clés de chiffrement ne sont jamais échangées entre le client et le service, ce qui rend ce processus hautement sécurisé. Les requêtes suivantes sont gérées rapidement car Kerberos répète simplement le précédent processus de connexion, puisque le jeton est conservé dans le cache du navigateur ou dans la mémoire de l’appareil.
Le jeton à durée limitée utilisé dans Kerberos est comme un ticket de cinéma. Lorsque quelqu’un achète un ticket de cinéma, il l’achète pour un film en particulier, à un moment en particulier et un jour en particulier. Cela vaut également pour un jeton d’authentification : Il ne peut être utilisé que pour une certaine ressource, pour une certaine durée, un jour en particulier. Lorsque le jeton original expire, un jeton de rafraîchissement est envoyé à sa place pour conserver le SSO.
Les trois principales parties de Kerberos
Sur l’illustration ci-dessous, la communication circule entre les entités suivantes : utilisateur/client et AS (flèches vertes) ; utilisateur/client et TGS (flèches jaunes) ; et utilisateur/client et application/serveur (flèches oranges). Quelques messages sont envoyés en texte simple, certains sont chiffrés avec une clé symétrique et certains contiennent les deux.
Ressources annexes
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite