Kerberos pertama kali dikembangkan pada dekade 1980-an sebagai sebuah
metode untuk melakukan autentikasi terhadap pengguna dalam sebuah jaringan yang
besar dan terdistribusi. Kerberos menggunakan enkripsi kunci rahasia/kunci
simetris dengan algoritma kunci yang kuat sehingga klien dapat membuktikan
identitas mereka kepada server dan juga menjamin privasi dan integritas
komunikasi mereka dengan server. Protokol ini dinamai Kerberos, karena memang
Kerberos (atau Cerberus) merupakan seekor anjing berkepala tiga.
Fungsi dari kerberos adalah sistem autentikasi yang aman,
single-sign-on, terpercaya dan bersifat mutual, apa arti dari definisi
tersebut, mari kita coba membahasnya satu persatu.
ü Secure : Kerberos bersifat aman karena tidak
pernah mentransmit password melewati jaringan dalam bentuk plaintext. Kerberos
menggunakan objek unik bernama tiket, yaitu pesan yang terenkripsi dengan
menggunakan time-limited cryptographic, yang membuktikan identitas user kepada
sebuah server tanpa mengirimkan password melalui jaringan atau melakukan cache
password di hardisk local si user.
ü Single-sign-on
: Single-sign-on berarti end user hanya perlu melakukan login sekali untuk
melakukan akses kepada seluruh resource jaringan yang support terhadap
kerberos. Ketika user telah melakukan authentikasi kerberos pada saat memulai
sesi login, maka surat kepercayaan user tersebut akan dikirim ke setiap
resource yang dia akses.
ü Trusted
third-party :Trusted third-party berarti mengacu
kepada fakta bahwa kerberos bekerja sebagai sistem authentikasi terpusat yang
diacu oleh semua sistem di jaringan, seluruh request untuk mengauthentikasi
suatu user akan dilemparkan ke server authentikasi kerberos.
ü Mutual
authentication : Mutual authentication
memastikan bukan hanya orang dibalik keyboard adalah sesuai apa yang ia klaim,
tapi juga si server yang dia akses.
Protokol Kerberos memiliki tiga
subprotokol agar dapat melakukan aksinya:
1.
Authentication Service (AS) Exchange: yang digunakan oleh
Key Distribution Center (KDC) untuk menyediakan Ticket-Granting Ticket (TGT)
kepada klien dan membuat kunci sesi logon.
2.
Ticket-Granting Service (TGS) Exchange: yang digunakan oleh
KDC untuk mendistribusikan kunci sesi layanan dan tiket yang diasosiasikan
dengannya.
3.
Client/Server (CS) Exchange: yang digunakan oleh klien untuk
mengirimkan sebuah tiket sebagai pendaftaran kepada sebuah layanan.
Sesi autentikasi Kerberos yang dilakukan antara klien dan
server adalah sebagai berikut:
Cara kerja protokol Kerberos
1.
Informasi pribadi pengguna dimasukkan ke dalam komputer
klien Kerberos, yang kemudian akan mengirimkan sebuah request terhadap KDC
untuk mengakses TGS dengan menggunakan protokol AS Exchange. Dalam request
tersebut terdapat bukti identitas pengguna dalam bentuk terenkripsi.
2.
KDC kemudian menerima request dari klien Kerberos, lalu
mencari kunci utama (disebut sebagai Master Key) yang dimiliki oleh pengguna
dalam layanan direktori Active Directory (dalam Windows 2000/Windows Server
2003) untuk selanjutnya melakukan dekripsi terhadap informasi identitas yang
terdapat dalam request yang dikirimkan. Jika identitas pengguna berhasil
diverifikasi,
3.
KDC akan meresponsnya dengan memberikan TGT dan sebuah kunci
sesi dengan menggunakan protokol AS Exchange.
Klien selanjutnya mengirimkan request TGS kepada KDC yang
mengandung TGT yang sebelumnya diterima dari KDC dan meminta akses tehradap
beberapa layanan dalam server dengan menggunakan protokol TGS Exchange.
4.
KDC selanjutnya menerima request, malakukan autentikasi
terhadap pengguna, dan meresponsnya dengan memberikan sebuah tiket dan kunci
sesi kepada pengguna untuk mengakses server target dengan menggunakan protokol
TGS Exchange.
Klien selanjutnya mengirimkan request terhadap server target
yang mengandung tiket yang didapatkan sebelumnya dengan menggunakan protokol CS
Exchange. Server target kemudian melakukan autentikasi terhadap tiket yang
bersangkutan, membalasnya dengan sebuah kunci sesi, dan klien pun akhirnya
dapat mengakses layanan yang tersedia dalam server
0 komentar:
Posting Komentar