1.7 - Organização do Kerberos

O Kerberos oferece um mecanismo para autenticação mútua entre partes, antes de se estabelecer efetivamente uma comunicação segura. O Kerberos usa o que é conhecido como KDC (Key Distribution Center), para facilitar a distribuição segura de permissões e de chaves simétricas dentro de uma rede. O KDC é executado como um serviço em um servidor e mantém uma base de dados para todas as entidades de segurança dentro do chamado Domínio Kerberos.

O Kerberos divide a rede nos chamados reinos (realms). Cada reino possui seu servidor de autenticação e uma política de segurança própria, permitindo diferentes níveis de segurança por reino. Essa divisão de reinos pode ser hierarquizada, de forma que cada área da organização possua um reino local vinculado a um reino central.

Por exemplo, para que o domínio “Administrativo Empresa1” consiga acessar serviços de “Financeiro Empresa1” em um meio inseguro como a internet, basta que os servidores Kerberos troquem chaves de segurança e se autentiquem mutuamente.

O usuário autenticado em “Administrativo Empresa1” não necessita de outra autenticação para acessar serviços em “Financeiro Empresa1”. Em uma rede Windows, o Kerberos funciona no controlador de domínio e utiliza o Active directory para autenticar, efetivamente, todas as entidades constantes nesse diretório.

Clique aqui para mais informações sobre o funcionamento do protocolo Kerberos.