Kerberos et Windows 2000 [5/12]
Authentification Kerberos
Notes:
Résolution de nom DNS du KDC
L’implémentation Kerberos de Microsoft utilise la résolution DNS pour localise le KDC du domaine (par définition, tout contrôleur de domaine Windows 2000 est un KDC).
Un KDC Windows 2000 est repéré par un enregistrement SRV (Service location) dans le DNS, sous la forme _kerberos._udp.NomDuDomaine.
Dans un système Kerberos différent d’un domaine Windows 2000, chaque machine Windows 2000 stocke le nom du serveur KDC dans son registre puis retrouve l’adresse IP par un enregistrement A (hôte) dans le DNS.
Les données d’autorisation d’un client reposent sur l’appartenance à un groupe Windows 2000 et sont identifiées par des « IDs de sécurité » (SIDs) fournies au KDC par Active Directory.
SIDs précisées : SID utilisateur, SID de groupes local, global, universel auxquels appartient l’utilisateur.
Les données d’autorisation sont disposées dans un champ spécifique du TGT, « Authdata », et sont recopiées et signées par le KDC dans chaque ticket de session.
L’autorité locale de sécurité (LSA) de la machine cliente vérifie ainsi la validité de chaque ticket de session et des autorisations de l’utilisateur. La LSA crée le jeton d’accès pour le contexte de sécurité.