Kerberos: вход в сеть по билетам без передачи пароля

Kerberos — это протокол сетевой аутентификации, который проверяет личность пользователя через выдачу временных зашифрованных билетов. Пользователь вводит пароль один раз при входе, дальше сервисы доверяют его билету — пароль больше по сети не передаётся.

Зачем это нужно бизнесу

Если каждое приложение само запрашивает пароль и каждый раз шлёт его на сервер, то, во-первых, пользователь устаёт вводить пароль по двадцать раз в день, во-вторых, пароль постоянно ходит по сети — это риск перехвата. Kerberos закрывает обе проблемы: сотрудник один раз авторизуется при входе на рабочее место, а дальше прозрачно получает доступ к файловым ресурсам, почте, внутренним системам — без повторного ввода. Это и есть основа единого входа (Single Sign-On) внутри корпоративной сети.

Как это работает

В центре схемы — центр выдачи билетов (KDC, Key Distribution Center). Он состоит из двух частей: сервера аутентификации (AS) и сервера выдачи билетов (TGS). Процесс упрощённо такой:

• Вход. Пользователь вводит пароль. Клиент запрашивает у сервера аутентификации стартовый билет — TGT (Ticket-Granting Ticket). Пароль при этом по сети не передаётся: используется производный от него ключ.
• Запрос доступа. Когда нужен доступ к сервису (файловый сервер, почта), клиент предъявляет TGT серверу выдачи билетов и получает сервисный билет именно под этот ресурс.
• Доступ. Клиент показывает сервисный билет нужному серверу. Сервер проверяет билет и пускает — без обращения к паролю.

Билеты живут ограниченное время, поэтому даже перехваченный билет быстро устаревает. Критично, чтобы часы на всех машинах были синхронизированы (через NTP) — Kerberos чувствителен к расхождению времени.

Сам Kerberos отвечает только за проверку личности. А вот «кто этот пользователь, в каких он группах и какие у него атрибуты» хранится в службе каталогов и читается по протоколу LDAP. Эти два протокола работают в паре: LDAP — каталог, Kerberos — проверка входа.

Где встречается Kerberos

• Microsoft Active Directory — Kerberos является основным протоколом входа в домен; поверх него работают групповые политики и федерация ADFS
• FreeIPA и ALD Pro — отечественные и open-source каталоги используют Kerberos для входа в Linux-домен
• Файловые серверы, почта, базы данных, внутренние веб-приложения, поддерживающие доменную аутентификацию

Когда нужно пускать пользователей во внешние и облачные приложения по единому входу, в дополнение к Kerberos применяют веб-протоколы федерации — SAML, OAuth 2.0 и OpenID Connect (см. SAML, OAuth и OIDC). Kerberos закрывает вход внутри сети, веб-федерация — выход наружу.

Когда нужно компании

• Внедряется домен и единый вход для сотрудников на рабочих местах
• Нужно убрать передачу паролей по сети и снизить риск их перехвата
• Идёт импортозамещение, и доменная инфраструктура переносится на отечественный каталог
• Усиливается парольная политика и многофакторная аутентификация — Kerberos становится её основой внутри сети

Как выстроить надёжную парольную политику и MFA поверх доменного входа — мы разобрали в статье «Парольная политика и MFA: внедрение».

Что включает наша услуга

• Проектирование и развёртывание доменной аутентификации на Kerberos (AD, FreeIPA, ALD Pro — по задаче)
• Синхронизация времени (NTP) на всех узлах — обязательное условие работы протокола
• Подключение файловых серверов, почты и приложений к доменному входу
• Настройка единого входа (SSO) внутри сети и федерации для внешних приложений
• Внедрение парольной политики и MFA, разбор инцидентов входа
• Сопровождение и мониторинг из нашего NOC

Связанные термины

• LDAP — протокол службы каталогов — хранит данные пользователей, которые проверяет Kerberos
• Active Directory, GPO и ADFS — доменная среда Microsoft на базе Kerberos
• SAML, OAuth и OIDC — веб-протоколы единого входа для внешних приложений

Получить расчёт

Откройте калькулятор, отметьте услуги по инфраструктуре и единому входу — получите ориентир. Финальная смета — после обследования доменной среды.