test

Guide du mécanisme d'authentification pour l'entreprise de Sun

Accès à un service avec SEAM

Pour qu'un utilisateur puisse accéder à un service particulier sur un serveur donné, il doit obtenir deux choses. Premièrement, il doit obtenir un justificatif d'identité pour le service d'octroi de tickets (également appelé TGT). Une fois que le service d'octroi de tickets a déchiffré ce justificatif d'identité, le service crée un deuxième justificatif d'identité pour le serveur auquel l'utilisateur souhaite accéder. Ce deuxième justificatif d'identité peut alors être employé pour demander d'accéder au service sur le serveur. Une fois que le serveur a déchiffré avec succès le deuxième justificatif d'identité, l'utilisateur est autorisé à accéder au service. Ce processus est décrit plus en détail ci-dessous.

Obtention d'un justificatif d'identité pour le service d'octroi de tickets

  1. Pour démarrer le processus d'authentification, le client envoie une requête au serveur d'authentification pour un principal d'utilisateur particulier. Cette requête n'est pas chiffrée. Comme aucune donnée sécurisée n'est incluse dans la requête, il n'est pas nécessaire de recourir au chiffrement.

  2. Lorsque la requête est reçue par le service d'authentification, le nom du principal de l'utilisateur est consulté dans la base de données KDC. Si un principal correspondant existe, le service d'authentification obtient la clé privée pour ce principal. Le service d'authentification génère alors une clé de session à utiliser par le client et le service d'octroi de tickets (appelons-la clé de session 1) et un ticket pour le service d'octroi de tickets (ticket 1). Ce ticket est également appelé ticket d'octroi de tickets (TGT). La clé de session et le ticket sont chiffrés au moyen de la clé privée de l'utilisateur, puis les informations sont renvoyées au client.

  3. Le client utilise ces informations pour déchiffrer la clé de session 1 et le ticket 1, en employant la clé privée pour le principal d'utilisateur. Comme la clé privée ne doit être connue que par l'utilisateur et la base de données KDC, les informations contenues dans le paquet devraient être sécuritaires. Le client enregistre les informations dans le cache des justificatifs d'identité.

Normalement, l'utilisateur est alors invité à taper son mot de passe. Si le mot de passe entré est identique à celui utilisé pour créer la clé privée enregistrée dans la base de données KDC, le client peut déchiffrer les informations envoyées par le service d'authentification. Le client possède maintenant un justificatif d'identité à utiliser avec le service d'octroi de tickets. Le client est alors prêt à demander un justificatif d'identité pour un serveur.

Figure 7-2 Obtention d'un justificatif d'identité pour le service d'octroi de tickets

Graphic

Obtention d'un justificatif d'identité pour un serveur

  1. Pour demander d'accéder à un serveur particulier, un client doit d'abord obtenir un justificatif d'identité pour ce serveur auprès du service d'authentification (voir "Obtention d'un justificatif d'identité pour le service d'octroi de tickets"). Le client envoie ensuite une requête au service d'octroi de tickets, qui inclut le nom du principal du service, le ticket 1 et un authentificateur chiffré avec la clé de session 1. Le ticket 1 a été initialement chiffré par le service d'authentification au moyen de la clé de service du service d'octroi de tickets.

  2. Étant donné que la clé de service du service d'octroi de tickets est connue par le service d'octroi de tickets, le ticket 1 peut être déchiffré. Les informations incluses dans le ticket 1 incluent la clé de session 1. Le service d'octroi de tickets peut donc déchiffrer l'authentificateur. À ce moment, le principal d'utilisateur est authentifié avec le service d'octroi de tickets.

  3. Une fois l'authentification réussie, le service d'octroi de tickets génère une clé de session pour le principal d'utilisateur et le serveur (clé de session 2), et un ticket pour le serveur (ticket 2). La clé de session 2 et le ticket 2 sont ensuite chiffrés au moyen de la clé de session 1. Comme la clé de session 1 n'est connue que par le client et le service d'octroi de tickets, ces renseignements sont sécurisés et peuvent être définis sur le réseau en toute sécurité.

  4. Lorsque le client reçoit ce paquet d'informations, il les déchiffre au moyen de la clé de session 1, stockée dans le cache des justificatifs d'identité. Le client a obtenu un justificatif d'identité à employer avec le serveur. Maintenant, le client est prêt à demander l'accès à un service particulier sur ce serveur.

Figure 7-3 Obtention d'un justificatif d'identité pour un serveur

Graphic

Obtention de l'accès à un service particulier

  1. Pour demander l'accès à un service particulier, le client doit d'abord obtenir un justificatif d'identité pour le service d'octroi de tickets auprès du serveur d'authentification, et un justificatif d'identité de serveur auprès du service d'octroi de tickets (voir "Obtention d'un justificatif d'identité pour le service d'octroi de tickets" et "Obtention d'un justificatif d'identité pour un serveur"). Le client peut envoyer une requête au serveur, incluant le ticket 2 et un autre authentificateur. L'authentificateur est chiffré au moyen de la clé de session 2.

  2. Le ticket 2 a été chiffré par le service d'octroi de tickets au moyen de la clé de service appropriée. Vu que la clé de service est connue par le principal du service, le service peut déchiffrer le ticket 2 et obtenir la clé de session 2. La clé de session 2 peut ensuite être utilisée pour déchiffrer l'authentificateur. Si l'authentificateur est déchiffré avec succès, le client est autorisé à accéder au service.

Figure 7-4 Obtention de l'accès à un service particulier

Graphic