Ana içeriğe atla

Kerberos

Kerberos Nedir?
Athena Projesinin bir parçası olarak MIT'de geliştirilen kimlik denetim sistemidir.Adını Yunan mitolojisindeki Yeraltı’nı koruyan üç başlı köpekten alır. Bu üç başlı köpeği şunlar temsil eder; istemci, servis sağlayıcılar ve kimlik doğrulama merkezi.
 

Kerberos güvensiz bir ağda güvenli hostlar için kullanılan bir kimlik doğrulama protokolüdür.Simetrik şifrelemeyi kullanılır.




Peki Kerberos'un Amacı Nedir?

Kerberos genel olarak şu amaçları gerçekleştirmeyi hedefler.
  • Kullanıcının şifresi ağ üzerinde asla iletilmemeli

  • Kullanıcının şifresi kullanıcı tarafında asla kaydedilmemelidir, kullandıktan sonra atılmadır.

  • Kullanıcının şifresi, şifrelenmeden asla veritabanında tutulmamalıdır

  • Kullanıcı her oturum için yalnız bir kere şifre girişi yapar. Yani şifre bir kere onaylandıktan sonra oturum sonuna kadar geçerli olacaktır (Single Sign-On)

  • Kimlik doğrulama bilgileri kimlik doğrulama sunucusu üzerinde bulunur. Uygulama sunucusu kimlik doğrulama bilgileri içermez.Bu yöntem aşağıda verilen sonuçlar için gereklidir:

  1. Sistem yöneticisi bir hesabı tek noktadan tüm servisler için etkisiz hale getirebilir
  2. Kullanıcı şifresini değiştirdiğinde aynı zamanda tüm servisler için de değişecektir
  3. Bilginin tek yerde tutularak korunması,birçok yerde korunması ihtiyacını ortadan kaldırır.
  • Sadece istemci kim olduğunu ispat etmek zorunda değildir,aynı şekilde uygulama sunucuları da kim olduğu ispat etmek zorundadır(istemci tarafından istenirse).Bu ilke de karşılıklı kimlik doğrulama olarak bilinir.
  • Kimlik doğrulama ve yetkilendirmenin ardından kullanıcı ve servis sunucusu şifreli bir bağlantı kurabilmelidir. Bu nedenle Kerberos şifreleme anahtarının üretilmesini ve dağıtılmasını sağlar.

Son olarak Kerberos'un bazı bileşenlerinden ve bazı terimlerinden bahsedeyim...

Key Distribution Center (KDC)

Kimlik doğrulamayı sağlayan sunucudur. Mantıksal olarak 3 bölüme ayrılır.
1.Veritabanı

Kullanıcılar ve servislerin kayıtlarının tutulduğu birimdir. Bilgiler Master Key denilen anahtarla şifrelenmiştir Her kayıtta şu bilgiler bulunur :

  • Kayıtla ilgili principal
  • Şifreleme anahtarı ve kvno
  • Biletlerin yaşam süresi bilgileri
  • Şifrenin son geçerlilik tarihi
  • Principal’ın son geçerlilik tarihi
2.Authentication Server (AS)
Kimlik doğrulama isteklerine cevap veren birimdir Oturum boyunca tüm servislere istekte bulunabilmeyi sağlayan Ticket Granting Ticket(TGT)’ı ve TGS ile haberleşmeyi sağlayan Session Key’i üretir.
3.Ticket Granting Server(TGS)

Kullanıcının servislerle haberleşmesini sağlayan biletleri üretir. Bu biletler servislerin gizli anahtarlarıyla şifrelendiği için kimliği doğrulanmamış kimse servislere erişemez.

Session Key
  • Kullanıcılar ve sunucu servisleri gizli anahtarlarını KDC ile paylaşırlar ve bu anahtarlar uzun sürelidir.
  • Sunucu ve kullanıcıların kendi aralarında şifreli olarak haberleşmeleri için ortak bir anahtara ihtiyaçları vardır.
  • Bu anahtarlar KDC tarafından rastgele üretilir ve özel anahtarla şifrelenerek istemci ve servis sunucularına yollanır.

Yorumlar

Bu blogdaki popüler yayınlar

C# ile Yüz Bulma ve Tanıma

Aylardır uğraştığım yüz tanıma sistemi tezimi nihayet bitirdim.Lafı uzatmadan hemen yaptığım uygulamadan bahsedeyim. Öncelikle yaptığım yüz tanıma sistemini gerçekleştirmek için donanımsal ve yazılımsal olarak en düşük sistem gereksinimleri şunlar.  —Donanımsal Gereklilikler İşlemci:        Pentium III veya üstü Bellek:         128 MB Hard Disk:   4GB veya üstü Monitör:       14”SVGA          —Yazılımsal Gereklilikler İşletim Sistemi:                             Microsoft Windows NT/2000 veya üstü Paket:                           ...

Yüz Tanıma Sistemi - 2

PCA Algoritması ve Özyüzler Metodu PCA algoritması ve Özyüzler metodunun kısaca bir tarihçesine bakalım; Öz yüzler yaklaşımı ilk olarak Sirovich ve Kirby (Eigenfaces, Principal Component Analysis, PCA, 1987) tarafından kullanılarak yüzü etkin bir şekilde göstermek için uygulanmıştır. Temel bileşen analizi olarak da bilinen Karhunen-Louve genişlemesine dayanmaktadır. Bu, bilgi teorisinde veriyi kodlama ve kodunu çözmede iyi bilinen bir tekniktir. Bu kişiler yüz resimleri gruplarından başlayarak bu resimlerin temel bileşenlerini hesaplamışlardır. Daha sonra da öz vektörün sadece küçük parçalarının ağırlıklı birleşimini kullanılarak yüz resmini yeniden oluşturmuşlardır. (Kirby ve Sirovich, 1990) bu metotlarını 115 yüz resmi veri tabanında test ettiler ve yaklaşık olarak %3 yanılma (hata) payıyla bir yüzü yeniden oluşturmak için sadece 40 öz vektörün yeterli olduğunu göstermişlerdir. Bundan kısa bir süre sonra yüzün simetrisini dikkate alarak (örneğin bütün yüzlerde gözler, burun v.s....

OpenSSL

Öncelikle OpenSSL hakkında genel bir bilgi vermek gerekir. OpenSSL ile ilgili genel ve güzel bir yazı var onu paylaşıp daha sonra windows sistemi altında OpenSSL sertifikası nasıl üretilir ve diğer aşamalarını yazacağım. OpenSSL nedir? OpenSSL projesi güvenliği geliştirmek için çaba harcayan ticari, geniş özellikli ve açık kaynak kodlu, Güvenli Soket Katmanı (SSL v2/v3), İletim Seviyesi güvenliği (TLS v1) protokollerini uygulayan, çok güçlü genel amaçlı bir şifreleme kütüphanesidir. Bu proje bütün dünyada iletişim, plan ve OpenSSL araçlarını geliştirmek için interneti kullanan gönüllüler topluluğu tarafından yönetilir. Bilindiği üzere SSL sertifikaları global firmalar tarafından oldukça yüklü rakamlara (Ücretlere) üretiliyorlar. Aslinda bu sertifikaları kendimiz üretmek mümkün, bunun için kendiniz sertifika sunucusu kurabilir ve işletebilirsiniz. OpenSSL organizasyonu burada devreye giriyor, ve bir kaç küçük program ile kendi sertifikalarınızı üretmenize olanak veriyor. Neden o z...