Tickets Kerberos

[alvarogb]

Buenas,

Me he encontrado la siguiente pregunta (test 2013-21):

51) ¿Qué termino define mejor una credencial Kerberos?

a) Un ticket de autenticación
b) Un ticket de autorización
c) Cada uno de los servicios y aplicaciones de una red que soportan Kerberos
d) Un dominio, formado por usuarios, equipos y servicios registrados en un servidor Kerberos

Da como buena la b), pero yo diría que es la a). Kerberos no autoriza, sólo autentica. Es el servidor que recibe el TS cifrado con su contraseña la que comprueba si el usuario que dice ese TS tiene acceso al servicio. ¿no es así? ¿Estoy pasando algo por alto?

Muchas gracias!

[jdiazgh]

Yo creo que la respuesta correcta es la b). El sistema Kerberos incluye la autenticación, que puede ser mediante usuario/contraseña, cuando se obtiene el ticket del TGS, y posteriormente la autorización, cuando se presenta el ticket ante el TS, que comprueba los derechos del usuario del ticket. La autenticación serviría para obtener el ticket, el propio ticket serviría para la autorización. Tal y como yo lo veo el TS que recibe el ticket formaría también parte de Kerberos.

Saludos,

[aprasha]

Autenticación es para confirmrmar quién eres, y autorización para ver, una vez sabiendo quién eres, qué tienes derecho a hacer.

Yo creo que Kerberos es para lo primero y que no tiene nada que ver en lo segundo...

Saludos.

[Mikra]

Yo estoy de acuerdo con jdiazgh, Kerberos es un sistema de autenticacion y autorizacion.

"Terminología de Kerberos

Antes de comentar los detalles de Kerberos es importante tomar nota de los siguientes términos:

Credential
Los usuarios o clientes tienen que disponer de credenciales que les autorizan a solicitar determinados servicios. Kerberos dispone de dos tipos de credenciales: Tickets y Authenticators.

Ticket
Un Ticket es una credencial utilizada por un cliente para solicitar un servicio de un servidor. Contiene el nombre del servidor, el nombre del cliente, la dirección de Internet del cliente, una marca de tiempo (timestamp), el tiempo de vida de la credencial y una clave de sesión al azar. Todos estos datos se codifican con la clave del servidor.

Authenticator
Junto con el ticket se utiliza el autentificador (Authenticator) para asegurar que el cliente que presenta un ticket realmente es él que presume ser. El autentificador se genera en la estación de trabajo mediante su nombre, su dirección IP, la hora actual y se codifica con la clave se sesión solamente conocida por parte del cliente y del servidor al que se solicita el servicio. En comparación a un ticket, el autentificador sólo puede ser usado una vez. El cliente por sí mismo es capaz de crear un autentificador."

[Maya]

Yo también creo que la correcta es la b).
No se pregunta si Kerberos sirve para autenticación o autorización, si esa fuera la pregunta, la respuesta sería que hace las dos cosas. Pregunta para qué sirve una credencial, y las credenciales se obtienen después de haber autenticado al usuario y se usan para autorizar el uso de los servicios.

[Mikra]

Dos tipos de credenciales : Tickets y Authenticators. NO es cierto que las únicas credenciales son los tickets y autorizan.

La diferencia esta en que la pregunta sobre credenciales da la opcion de "Un ticket de autenticación" y "Un ticket de autorización".
La credencial de autenticacion = Authenticator
La credencial de autorizacion = Ticket

Luego no existen los ticket de autenticación, si existe Authenticators.

Si se busca en google: "There are two types of credentials used in the Kerberos model: tickets and authenticators"

[alvarogb]

Buenas,

Muchas gracias por las respuestas.

Había visto material de este seminario de kerberos, donde se comenta al final de los diagramas de explicación del protocolo: "Just because Susan has authenticated herself does not inherently mean she is authenticated to make use of the XYZ service".
http://123seminarsonly.com/Seminar-Repo ... beros.pptx


He estado echando un vistazo a la RFC 4120 correspondiente a Kerberos v5, la sección "1.4 Authorization" dice lo siguiente:

As an authentication service, Kerberos provides a means of verifying the identity of principals on a network. Authentication is usually useful primarily as a first step in the process of authorization, determining whether a client may use a service, which objects the client is allowed to access, and the type of access allowed for each. Kerberos does not, by itself, provide authorization. Possession of a client ticket for a service provides only for authentication of the client to that service, and in the absence of a separate authorization procedure, an application should not consider it to authorize the use of that service.

Separate authorization methods MAY be implemented as application-specific access control functions and may utilize files on the application server, on separately issued authorization credentials such as those based on proxies, or on other authorization services. Separately authenticated authorization credentials MAY be embedded in a ticket's authorization data when encapsulated by the KDC-issued authorization data element.

Applications should not accept the mere issuance of a service ticket by the Kerberos server (even by a modified Kerberos server) as granting authority to use the service, since such applications may become vulnerable to the bypass of this authorization check in an environment where other options for application authentication are provided, or if they interoperate with other KDCs.


Por tanto, sigo pensando que Kerberos sólo autentica, y que la autorización no es propia del protocolo en sí. ¿Q opináis?

Gracias!

PD- Siento el tocho de post

[jdiazgh]

Pues para darle más vueltas, en la sección 5.2 de la RFC 4120 "Authorization data", especifican las características de los datos de autorización que se usan en el ticket o authenticator:

Authorization data elements are considered critical if present in a ticket or authenticator. If an unknown authorization data element type is received by a server either in an AP-REQ or in a ticket contained in an AP-REQ, then, unless it is encapsulated in a known authorization data element amending the criticality of the element sit contains, authentication MUST fail. Authorization data is intended to restrict the use of a ticket. If the service cannot determine whether the restriction applies to that service, then a security weakness may result if the ticket can be used for that service

.

Luego si permite incorporar datos de autorización, lo que creo que pasa es que estos datos no parece que pertenezcan a Kerberos, sino que se encapsulan en él desde un método externo de autorización, si bien Kerberos puede tomar decisiones acerca de los mismos dependientemente del tipo de datos en que sean definidos:

Depending on the meaning of the encapsulating element, the encapsulated elements may be ignored, might be interpreted as issued directly by the KDC, or might be stored in a separate plaintext part of the ticket. The types of the encapsulating elements are specified as part of the Kerberos specification because the behavior based on these values should be understood across implementations, whereas other elements need only be understood by the applications that they affect

.

Saludos,

[Mikra]

Yo creo que alvarogb tiene razon en que el inicio y origen de la funcionalidad de Kerberos, cuando fue creado por el MIT, era resolver ciertos problemas de seguridad. Y el protocolo Kerberos se conoce como con un uso principal en autenticación.

Si bien es cierto, que en las sucesivas versiones se añadieron mejoras y extensiones que posibilitaran añadir mas funcionalidad a los sistemas Kerberos. De hecho la inclusion de la informacion de autorización como dice jdiazgh fue una de esas mejoras de la version V o 5 como se prefiera. No tengo a mano la frase exacta para pegarla, luego la busco.

Por eso a veces se habla de modelo Kerberos de autenticacion o Modelo kerberos de autenticacion y autorizacion. Aunque es evidente en ambos casos, que el uso de kerberos, no implica que el servidor que ofrece el servicio, sea el mismo quien soporte la autorización a su propio servicio.

Por eso creo que ambos teneis parte de razon, pero sigo pensando que la pregunta es correcta porque no se trata solo del protocolo, sino del conjunto que permite un objetivo "acceder a un servicio" con la identidad autenticada.

[alvarogb]

Gracias Mikra y jdiazgh.
Parece entonces que Kerberos a día de hoy soporta que se utilice para autenticar y autorizar, pese a que originalmente fue concebido únicamente para autenticar (y pudiera usarse actualmente sólo para esa finalidad).
Al margen la pregunta en cuestión, que podrá ser más o menos ambigua , lo importante es que los conceptos queden claros y comprendidos.