Kerberos expliqué aux enfants/Annexe/Glossaire
Glossaire et analogie avec les termes de Kerberos
Termes Kerberos | Expliqué aux Enfants | Explications |
AS | Le Seigneur | Serveur d'Authentification. Il dispose d'une base de données, ou registre listant les Clients (les Serfs) et les Services (le Moulin ...) du Domaine. Il valide l'identité des Clients. |
Authentification | Echanges entre le Serf et le Seigneur | Processus d'échange entre le Client (le Serf) et le Serveur d'Authentification, ou AS (le Seigneur), permettant de valider l'identité de l’utilisateur dans le Domaine. L'authentification aboutit à la création d'un TGT par l'AS, à destination du TGS. |
Autorisation | Echanges entre le Serf et l'Intendant | Processus d'échange entre le Client (le Serf) et le TGS (l'Intendant) permettant de valider l'accès au Service par le Client. L'autorisation aboutit à la création d'un Ticket Service par le TGS, à destination du Serveur fournissant le Service demandé. Se fait avec le Coffret à Serrure Noire. |
Clef de Session | Clef Rouge | En 2 exemplaires, créée par l'AS (le Seigneur) lors de l'authentification du Client. Elle permet un échange sécurisé entre le Client et le TGS (entre le Serf et l'Intendant) pendant une durée limitée. C'est une Session Secret Key, souvent indiquée comme SK, plutôt que comme un simple K. |
Clef du Client | Clef Verte | Possédée uniquement par le Serf. Dans les faits, il s'agit du password de l'utilisateur, qui l'utilise pour décrypter la réponse de l'AS à la demande d'authentification. Elle est générée lors de la mise en place du protocole Kerberos. Si la Clef Verte est une Clef Privée, alors le Coffret à Serrure Verte est une Clef Publique que l'AS peut utiliser pour envoyer des messages à destination exclusive du Client (ou Serf Vert). |
Client | Le Serf | Il fait partie du Domaine du Seigneur, et souhait obtenir l'accès à un Service, le Moulin. Pour cela, il ne dispose au départ que de sa Clef Verte, dont il ne se sépare jamais. |
Service | Le Moulin | Le Moulin et son Gardien sont le Serveur ou Service pour lequel une requête a été générée par le Client. Il dispose d'une Clef Privée (la Clef Noire) qui permet de recevoir le Ticket de Service en provenance du TGS (l'Intendant). |
TGS | L'Intendant | Ticket Granting Service. Il reçoit le TGT en provenance de l'AS (le Seigneur), et génère le Ticket d'accès au Service, ou Service Ticket (le Coffret Noir) qu’il remet au Client, mais en fait à destination du Serveur. |
TGT | Coffret à Serrure Jaune | Ticket Granting Ticket, représenté par le Coffret à Serrure Jaune dans lequel le Seigneur a glissé la requête originale du Serf Vert, ainsi qu'une Clef de Session Rouge. Ce TGT est à destination de l'Intendant pour qu’il puisse vérifier l'identité du demandeur. |
Timelimit | Heure ou date limite d'utilisation. Le Client génère sa requête en la limitant dans le temps. L'AS peut imposer une timelimit inférieure, de même que le TGS. À chaque réception d'un message, il est vérifié que la timelimit précédente n’est pas expirée, et elle est éventuellement réduite en fonction des paramètres de chacun. Ainsi l'AS peut imposer une timelimit de 8 heures, pendant lesquelles il n’est pas nécessaire de se refaire authentifier. De même le TGS peut imposer une timelimit de 6 heures, par exemple, pendant lesquelles l'autorisation reste valable, et permettant des accès répétés au Service sans nouvelle requête d'autorisation. | |
Timestamp | Heure du moment | La plupart des échanges sont horodatés. Cela permet de limiter la validité d'une requête, d'une authentification, et d'une autorisation dans le temps. |