Glossaire

Authentification Kerberos

Qu'est-ce que l'authentification Kerberos ?

Kerberos (Cerbère en français), du nom du chien de garde à trois têtes de la mythologie grecque, est un protocole d'authentification réseau tiers créé par le MIT. Il utilise un mécanisme de chiffrement à base de clés secrètes pour authentifier les clients et les serveurs de manière totalement sûre, même sur les réseaux non sécurisés. Afin de vérifier l'authenticité d'un utilisateur, le client et le serveur se transmettent des clés chiffrées appelées « tickets », au lieu des identifiants et mots de passe habituels.

Kerberos a pour but d'éviter tout stockage local de mots de passe ou tout envoi de mots de passe par Internet et assure une authentification mutuelle, c'est-à-dire à la fois de l'utilisateur et du serveur.

Fonctionnement de l'authentification Kerberos

Chaque utilisateur d'un système, appelé « principal », démarre avec un ticket unique. Ces tickets sont émis par le serveur d'authentification, également connu sous le nom de Centre de distribution de clés Kerberos (ou KDC pour Key Distribution Center), et sont utilisés pour identifier des principaux spécifiques. Le ticket est chiffré à l'aide d'une clé secrète et stocke diverses informations relatives à l'identification du principal.

Cette clé secrète est échangée uniquement entre le serveur d'authentification et celui auquel le client essaie d'accéder, si bien que le client à l'origine de la demande ne peut ni connaître ni modifier le contenu du ticket émis. Kerberos utilise également un mécanisme de chiffrement à clé symétrique, la même clé servant donc au chiffrement et au déchiffrement.

En règle générale, le ticket contient les informations suivantes concernant le principal :

  • La clé de session
  • L'identificateur de l'utilisateur demandeur, généralement son nom d'utilisateur
  • Le serveur/service concerné par la demande
  • L'adresse IP côté client de l'appareil autorisé à utiliser le ticket en question
  • La durée de validité du ticket (généralement 10 heures)
  • L'heure de la création du ticket

L'administrateur du realm Kerberos (l'ensemble des machines et des principaux) peut interdire l'émission de tickets à certains utilisateurs, mais n'est pas en mesure de révoquer un ticket une fois émis. Il est donc important que chaque ticket soit assorti d'une durée de validité.

Afin de recevoir un ticket, le client envoie une demande au serveur d'authentification contenant des informations sur le serveur auquel il souhaite se connecter. Le serveur d'authentification vérifie ensuite si le nom d'utilisateur du client figure dans la base de données du KDC. Si le nom d'utilisateur est valide, le serveur d'authentification crée et émet un ticket accompagné d'une clé de session. Grâce à cette procédure, le mot de passe de l'utilisateur n'est jamais stocké sous forme non chiffrée, même dans la base de données du serveur d'authentification.

En quoi l'authentification Kerberos est-elle importante ?

Chaque échange d'informations sur Internet augmentent l'exposition des données à des sources extérieures, notamment à d'éventuels cybercriminels. Les pirates utilisent souvent des outils pour tenter de récupérer des mots de passe lors de leur transmission sur les réseaux. C'est pourquoi il est beaucoup plus sûr de toujours les chiffrer. L'authentification Kerberos vous apporte cette garantie et vérifie également l'identité du client à l'origine de la demande.

Les pare-feux sont une bon moyen de défense contre les intrusions extérieures ou les pirates informatiques, mais ils partent généralement du principe que les attaques proviennent de l'extérieur du réseau. Cela laisse ainsi la porte grande ouverte aux attaques menées par des personnes ayant déjà accès au réseau. La procédure d'authentification Kerberos, en revanche, vous protège quel que soit le point de départ de l'intrusion.

En savoir plus sur l'authentification Kerberos

Termes associés

Lectures complémentaires

Produits associés

La mise en œuvre d'une procédure d'authentification Kerberos au sein de votre réseau permettra aux pare-feux Barracuda CloudGen Firewall d'associer les requêtes Web sortantes aux utilisateurs Active Directory, de consigner l'activité des utilisateurs et d'appliquer des politiques spécifiques aux utilisateurs ou aux groupes au niveau des connexions sortantes.

Barracuda Web Security Gateway intègre le protocole Kerberos afin que les clients se servant d'un routeur compatible NAT, de Windows Terminal Services et de Citrix Presentation Services soient autorisés à envoyer des requêtes.

Des questions sur l'authentification Kerberos ? Contactez-nous dès maintenant.