Kerberos é um serviço de protocolo de autenticação que é usado para proteger os recursos da rede de acesso não autorizado em /redes baseadas em servidores de clientes Microsoft , tais como aqueles utilizando um servidor Microsoft Windows 2003. Kerberos protege os recursos , como arquivos e bancos de dados armazenados em servidores de rede , garantindo que somente os clientes que se conectaram com sucesso na rede pode acessar esses serviços. Kerberos permite o acesso a recursos apenas para clientes com contas listadas em um usuário da rede e banco de dados conta de computador , como o Active Directory , usados ​​por servidores Windows 2003. Pedido de Concessão de Ticket Ticket

Um computador cliente em uma rede, tal como um computador desktop com Windows XP ou Windows 7, pode precisar acessar um recurso, como um arquivo, armazenado em uma rede servidor de armazenamento de dados. O cliente envia uma solicitação digital para o servidor que autenticou na rede durante o logon. O pedido solicita ao servidor de autenticação para verificar as credenciais do cliente no Active Directory e criar um dos certificados o cliente terá de apresentar ao solicitar acesso aos recursos da rede . O servidor Active Directory cria um certificado digital criptografada, contendo uma chave de sessão (SK) , e um bilhete de concessão de permissão (TGT ), que ele envia de volta para o computador cliente .
Ticket Servidor Concessão < br >

o cliente descriptografa a chave de sessão andt cria um autenticador digital para enviar a um servidor de concessão de ticket . O autenticador contém o nome do cliente, e seu endereço IP (Internet Protocol ) , além de um carimbo de tempo. O servidor de concessão de ticket é um servidor de rede que hospeda o serviço de segurança Kerberos. Em uma rede cliente /servidor baseado em Windows, que geralmente é o servidor que hospeda o serviço de autenticação do Active Directory.

O cliente envia o autenticador que ela criou , juntamente com a TGT que recebeu do servidor do Active Directory, a a Concessão Ticket Server . O servidor de concessão de ticket usa o autenticador eo TGT para criar uma nova SK . Ele também cria um certificado digital conhecido como um servidor Ticket Target, que contém as credenciais que o cliente terá de acessar o arquivo armazenado no servidor de destino. O novo Ticket Server destino contém o nome do cliente e endereço IP e um tempo de expiração de destino Ticket Server , além de chave de segurança do servidor de destino eo nome do servidor de destino . A nova SK eo Servidor Ticket alvo são criptografados e enviados de volta para o cliente.
Autenticação Servidor de destino

O cliente envia o novo SK eo alvo Ticket server para o servidor que hospeda o arquivo que o cliente quer acessar . O servidor de destino aceita a solicitação porque o pedido contém a chave de segurança do servidor de destino. O servidor de destino decifra o Ticket Server Target e verifica as informações de autenticação do cliente SK , o endereço IP do cliente e do carimbo de tempo. Porque a maioria das solicitações de acesso à rede exigir a comunicação de duas vias entre o cliente e os recursos do servidor de hospedagem, o servidor de destino usa o SK para gerar uma mensagem, incluindo a data e hora, incrementado por um, e usa a chave de criptografia do SK para criptografar a mensagem, que ele envia de volta ao cliente para provar que ele é o servidor que o cliente quer se comunicar.
Acesso a Recursos

o servidor de destino está agora convencida de que o servidor cliente tem o direito de estabelecer uma sessão de comunicação , eo cliente está convencida de que o servidor de destino é o servidor correto , como o servidor de destino reconheceu a chave de segurança digital criptografado que o cliente apresentado. Cliente e servidor ambos compartilham o SK para estabelecer uma sessão de comunicação.

Isso não significa que o cliente pode acessar o arquivo armazenado no servidor de destino. Kerberos permite comunicação segura apenas entre computadores. Os arquivos são protegidos por suas próprias permissões de acesso a recursos individuais.