Kerberos et Windows 2000 [4/12]

• Centre de distribution des clés (Key Distribution Center)

  • KDC s’exécute avec Active Directory en tant que processus privilégié.
  • KDC stocke les informations relatives à la sécurité des principaux, dont les clés secrètes à long terme.
  • KDC génère et gère les clés de session.
  • Deux services Windows 2000 :
    • Service d’authentification : Authentication Service
    • Service d’octroi de tickets : Ticket Granting Service

Diapositive précédente

Diapositive suivante

Revenir à la première diapositive

Afficher la version graphique

Centre de distribution des clés

Le KDC est l’autorité approuvée dans un système Kerberos (3 parties : client, serveur, autorité approuvée).

Le KDC gère une base de données d’informations de sécurité relatives aux principaux d’un domaine Kerberos (un principal est un client Kerberos, une entité disposant d’un nom unique) dont la clé secrète partagée entre un principal et le KDC.

Chaque principal dispose d’une clé secrète à longue durée de vie (clé à long terme). Dans le cas d’un utilisateur, cette clé est dérivée du hash de son mot de passe.

Le KDC émet également des clés de session pour permettre à deux principaux (ex. un client et un serveur) de communiquer entre eux de manière sécurisée (authentification mutuelle). Une clé de session est composée de deux parties, chiffrées chacune par la clé à long terme d’un des deux principaux (chaque principal ne peut déchiffré et comprendre que la partie le concernant).

Une clé de session n’est valable que pendant la durée de session et est renouvelée à chaque nouvelle connexion.

Le KDC est extrêmement sensible et doit être protégé.