ما هي تذكرة المصادقة؟

بطاقة المصادقة هي مكون أمان لبروتوكول أمان شبكة Kerberos. إنه بمثابة رمز مميز ، مجموعة صغيرة من البيانات ، يتم تمريرها بين جهاز كمبيوتر عميل وخادم ، بحيث يتمكن جهازي الكمبيوتر من إثبات الهوية لبعضهما البعض. بالإضافة إلى تعريف الشبكة المتبادل هذا ، تذكر البطاقة أيضًا تفاصيل أي أذونات لدى العميل للوصول إلى الخادم وخدماته ، بالإضافة إلى الوقت المخصص للجلسة.

هناك نوعان أساسيان من بطاقة المصادقة. تذكرة منح التذكرة (TGT) ، والتي يشار إليها أيضًا باسم تذكرة الحصول على التذاكر ، هي التذكرة الأساسية التي يتم إصدارها عندما يحدد الكمبيوتر العميل هويته لأول مرة. عادةً ما يستمر هذا النوع من التذاكر لفترة طويلة ، تصل إلى 10 ساعات أو أكثر ، ويمكن تجديدها في أي وقت خلال الفترة التي تم فيها تسجيل دخول المستخدم إلى الشبكة. باستخدام TGT ، يمكن للمستخدم بعد ذلك طلب تذاكر المصادقة الفردية للوصول إلى الخوادم الأخرى على الشبكة.

بطاقة العميل إلى الخادم ، والتي يشار إليها أيضًا باسم بطاقة الجلسة ، هي الشكل الثاني لبطاقة المصادقة. عادة ما تكون هذه تذكرة قصيرة العمر يتم تسليمها عندما يرغب العميل في الوصول إلى خدمة على خادم معين. تحتوي بطاقة الجلسة على عنوان شبكة الكمبيوتر العميل ومعلومات المستخدم والمدة التي تكون فيها التذكرة صالحة. في بعض تطبيقات Kerberos ، مثل Microsoft® Active Directory® ، يمكن أيضًا استخدام نوع ثالث من التذاكر ، يسمى تذكرة الإحالة. يتم منح هذا النوع من التذاكر عندما يرغب العميل في الوصول إلى خادم موجود في مجال منفصل عن مجاله.

الطريقة التي يعمل بها نظام منح بطاقة Kerberos هي من خلال استخدام خادم منفصل ، يُعرف باسم مركز توزيع المفاتيح (KDC) ، والذي يوفر نظام بطاقة المصادقة بالكامل. يحتوي هذا الجهاز على مكونين فرعيين قيد التشغيل ، يُعرف أولهما باسم خادم المصادقة (AS). يعرف AS جميع أجهزة الكمبيوتر والمستخدمين الآخرين على الشبكة ويحتفظ بقاعدة بيانات لكلمات المرور الخاصة بهم. عندما يقوم مستخدم بتسجيل الدخول إلى الشبكة ، يمنحه AS TGT.

عند النقطة التي يحتاج فيها المستخدم إلى الوصول إلى خادم في مكان ما على الشبكة ، فإنه يستخدم TGT المعطى مسبقًا ويطلب بطاقة خدمة من الجزء الثاني من مركز توزيع البطاقات ، يسمى خادم منح التذاكر (TGS). يرسل TGS تذكرة جلسة مرة أخرى إلى المستخدم ، الذي يمكنه بعد ذلك استخدامها للوصول إلى الخادم الذي طلبه. عندما يتلقى الخادم بطاقة الجلسة ، فإنه يرسل رسالة أخرى إلى المستخدم للتحقق من هويته وأنه يُسمح للمستخدم بالوصول إلى الخدمة المطلوبة. في حالة بطاقة الإحالة ، يلزم اتخاذ خطوة إضافية حيث يقوم مركز توزيع المفاتيح للمجال الرئيسي بدلاً من ذلك بإنشاء تذكرة إحالة تسمح للعميل بطلب تذاكر الجلسة من مركز توزيع مركزي آخر على نطاق شبكة مختلف. يتم تشفير عملية إنشاء التذاكر ومشاركتها بالكامل في كل خطوة على طول الطريق للحماية من تنصت المهاجم أو التنكر كمستخدم.

العيب الأساسي لطريقة بطاقة المصادقة هو الهيكل المركزي لجميع التراخيص. إذا تمكن أحد المهاجمين من الوصول إلى مركز توزيع المفاتيح ، فإنه يحصل بشكل أساسي على حق الوصول إلى جميع هويات المستخدمين وكلمات المرور ويمكنه بعد ذلك انتحال شخصية أي شخص. علاوة على ذلك ، في حالة عدم توفر مركز توزيع المفاتيح ، فلن يتمكن أحد من استخدام الشبكة. هناك مشكلة أخرى وهي دورات الحياة التفصيلية للتذاكر ، والتي تتطلب مزامنة جميع أجهزة الكمبيوتر على الشبكة.