Kerberos인증

간단히 말하자면 NTLM은 통합 윈도우 인증 입니다.

이것은 IE와 IIS 웹서버 사이에서만 동작을 합니다.

Challenge-response 메커니즘을 사용한다고 하는 군요..

대부분의 인터넷 사이트에서 다양한 브러우저를 지원하므로 그럴 경우에서는 수행할수 없겠지요..



Kerberos인증은 NTLM의 확장된 개념으로 이해 하면 쉽습니다.

NTML에 비해 외부적인 보안 공격에 강하게 대처할수 있는 메커니즘입니다.

커버로스는 머리 세개달린 지옥과 이승의 문을 지키는 파수꾼을 의미 하여

클리어언트와 TGS, FileServer 사이의 프로토콜을 말합니다.

우선적으로 커버로스 인증은 6가지 단계를 거치면서 사용자 암호를 직접 보내는 것이 아니라

티켓이라는 것을 사용하여 파일서버에 접근할 수 있도록 합니다.

우선 1단계에서는 사용자가 서버에 접속을 하기 위해 도메인과 아이디 패스워드를 입력하게 됩니다.

입력한 패스워드를 가지고 Hash 함수를 통과 시켜 나온 값을 가지고 time_stemp 값을 암호화 합니다

그것이 pre-authetication data로 쓰이고.

TGT 즉, TGS에서 티켓을 발급 받기 위해서 발행하는것을 발행 해 달라는 문구를 가지고

KDC에 요청 하게 됩니다. KDC는 가지고 있던 패스워드 를 해시 함수를 통해 만든 값을 가지고

pre-authetication data를 풀게 되고, 맞다면 TGT를 발행 합니다.

그러면 클라이언트는 TGT를 다시보내어 TGS에서 티켓을 발급 받게 되고 

그 발급 받은 티켓을 가지고 파일 서버에 접근을 하는 프로 토콜을 켈베로스 인증이라고 합니다.

일단 그림은 없지만 이렇게 진행이 됩니다.