커버로스: 두 판 사이의 차이

IT위키
편집 요약 없음
편집 요약 없음
(사용자 2명의 중간 판 2개는 보이지 않습니다)
5번째 줄: 5번째 줄:
* 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행
* 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행
* 신뢰받은 제3자 기반의 인증 시스템의 초기 구현 형태이자 가장 많이 사용됨
* 신뢰받은 제3자 기반의 인증 시스템의 초기 구현 형태이자 가장 많이 사용됨
** [[윈도우 운영체제]]에서 사용
** [[윈도우]] [[운영체제]]에서 Active Directory 도메인 내에서 사용되는 주요 인증 메커니즘
** [https://docs.microsoft.com/ko-kr/windows/security/threat-protection/security-policy-settings/kerberos-policy 마이크로소프트 윈도우 커버로스 정책 설정 안내]
* 한번의 로그인으로 여러 서비스 이용 가능
* 한번의 로그인으로 여러 서비스 이용 가능
** [[SSO]]를 구현하기 위한 표준으로 사용됨
** [[SSO]]를 구현하기 위한 표준으로 사용됨


== 서버 구성 ==
== 서버 구성 ==
=== AS(Authentication Server) ===
=== AS ===
** 모든 사용자의 패스워드를 가지고 있으며, 초기 로그인 시에는 AS에서 패스워드로 인증
;Authentication Server
** 발급티켓: TGT(Ticket Granting Ticket)
* 모든 사용자의 패스워드를 가지고 있으며, 초기 로그인 시에는 AS에서 패스워드로 인증
** 서버에서 인증을 받았다는 것을 증명하는 티켓으로, 로그인 세션마다 한번만 발급
* 사용자 입장에선 AS에 한번 로그인하면 인증 과정 종료
=== TGS(Ticket Granting Service) ===
 
** AS에서 인증받은 사용자들에 대해 각 필요한 서비스의 티켓을 발행
=== TGS ===
** '''발급 티켓: SGT(Service Granting Ticket)'''
;Ticket Granting Service
** TGT를 보고 발행해주는 짧은 유효기간의 1회용 티켓
* AS에서 인증받은 사용자들에 대해 각 필요한 서비스의 티켓을 발행
** 타임스탬프 연동을 통해 시간제한을 둠으로써 재사용 공격을 방지
 
=== 서비스 서버 ===
=== 서비스 서버 ===
;표준상의 공식적 구성요소는 아님. 이해를 돕기위한 것이며, 실무적으로 응당 있는 서버
;표준상의 공식적 구성요소는 아님. 이해를 돕기위한 것이며, 실무적으로 응당 있는 서버
** TGS에서 발급받은 티켓으로 이용 가능한 서비스
* TGS에서 발급받은 티켓으로 이용 가능한 서비스
 
== 티켓 ==
=== 티켓 구성요소 ===
* 클라이언트가 접속 하기를 원하는 서버의 ID
* 클라이언트의 ID
* 클라이언트의 네트워크 주소
* 티켓의 유효 기간
* 클라이언트와 서버가 서비스 기간 동안 공유하는 세션키
 
=== TGT ===
;Ticket Granting Ticket
* AS에서 발급
* 서버에서 인증을 받았다는 것을 증명하는 티켓으로, 로그인 세션마다 한번만 발급
 
=== SGT ===
;Service Granting Ticket
* TGT를 보고 발행해주는 짧은 유효기간의 1회용 티켓
* 타임스탬프 연동을 통해 시간제한을 둠으로써 재사용 공격을 방지


== 버전 ==
== 버전 ==

2019년 6월 9일 (일) 11:03 판

Kerberos; 커브로스; 커베로스;
  • 미국 MIT대의 Athena Project에 의해 개발된 대칭키 방식에 의한 인증 시스템
  • 인증 프로토콜이자 동시에 키분배센터(KDC)의 역할도 수행
  • 신뢰받은 제3자 기반의 인증 시스템의 초기 구현 형태이자 가장 많이 사용됨
  • 한번의 로그인으로 여러 서비스 이용 가능
    • SSO를 구현하기 위한 표준으로 사용됨

서버 구성

AS

Authentication Server
  • 모든 사용자의 패스워드를 가지고 있으며, 초기 로그인 시에는 AS에서 패스워드로 인증
  • 사용자 입장에선 AS에 한번 로그인하면 인증 과정 종료

TGS

Ticket Granting Service
  • AS에서 인증받은 사용자들에 대해 각 필요한 서비스의 티켓을 발행

서비스 서버

표준상의 공식적 구성요소는 아님. 이해를 돕기위한 것이며, 실무적으로 응당 있는 서버
  • TGS에서 발급받은 티켓으로 이용 가능한 서비스

티켓

티켓 구성요소

  • 클라이언트가 접속 하기를 원하는 서버의 ID
  • 클라이언트의 ID
  • 클라이언트의 네트워크 주소
  • 티켓의 유효 기간
  • 클라이언트와 서버가 서비스 기간 동안 공유하는 세션키

TGT

Ticket Granting Ticket
  • AS에서 발급
  • 서버에서 인증을 받았다는 것을 증명하는 티켓으로, 로그인 세션마다 한번만 발급

SGT

Service Granting Ticket
  • TGT를 보고 발행해주는 짧은 유효기간의 1회용 티켓
  • 타임스탬프 연동을 통해 시간제한을 둠으로써 재사용 공격을 방지

버전

주로 사용되는 버전은 4버전과 5버전이 있음
  • Ver 4 : DES 사용
  • Ver 5 : DES 이외의 다른 암호 알고리즘 등도 사용 가능

단점