171
shifrlangan autentifikatorni yaratadi va uni TGS xizmatidan olib berilgan maqsad
serverining maxfiy kalitida shifrlangan mandat bilan birga jo‘natadi.
Maqsad serveri mijozdan ma’lumotlarni olib, autentifikatorni o‘zining
maxfiy kalitida rasshifrovka qiladi va undan "mijoz-server" seans kalitini chiqarib
oladi. Mandat ham tekshiriladi. Tekshirish muolajasi "mijoz-TGS" sessiyasida
o‘tkaziladigan muolajaga o‘xshash, ya’ni tarmoq adreslari
va vaqt belgisining
mosligi tekshiriladi. Agar barchasi mos kelsa, server mijozning xaqiqiyligiga
ishonch hosil qiladi.
Agar ilova haqiqiylikning o‘zaro
tekshirilishini talab etsa, server mijozga
tarkibida seans kalitida shifrlangan vaqt belgisi bo‘lgan xabarni yuboradi. Bu
serverga to‘g‘ri maxfiy kalitning ma’lum ekanligini va u mandat va guvohnomani
rasshifrovka qila olishini isbotlaydi. Zaruriyat tug‘ilganida mijoz va server keyingi
xabarlarni umumiy kalitda shifrlashlari mumkin. Chunki bu kalit faqat ularga
ma’lum, bu kalit bilan shifrlangan oxirgi xabar ikkinchi
tarafdan yuborilganiga
ikkala taraf ishonch hosil qilishlari mumkin. Amalda bu barcha murakkab
muolajalar avtomatik tarzda bajariladi va mijozga qandaydir noqulayliklar
yetkazilmaydi.
Domenlararo autentifikatsiyalash xususiyatlari.
Kerberos dan domenlararo autentifikatsiyalashda ham foydalanish mumkin.
Mijoz boshqa domendagi serverdan foydalanish maqsadida
kalitlarni taqsimlash
markazi
KDC ga murojaat qilsa,
KDC mijozga suralayotgan server joylashgan
domenning
KDC iga murojaat etishga qayta adreslash mandatini (referalticket)
taqdim etadi (6.3-rasm).
KDC 1
Mijoz
KDC 2
Server
1-domen
2-domen
1
2
3
4
5
6.3-rasm. Kerberos protokolida domenlararo autentifikatsiyalash sxemasi
172
Rasmda quyidagi belgilashlar qabul qilingan:
1. Autentifikatsiyalashga so‘rov.
2.
KDC1 uchun
TGT
3.
KDC2 uchun
TGT.
4. Serverdan foydalanish mandati.
5. Ma’lumotlarni autentifikatsiyalash va almashish.
Qayta adreslash mandati ikkita domen KDCsining
juftli aloqa kalitida
shifrlangan TGTdir. Bunda mijozga serverdan foydalanishga mandatni
so‘ralayotgan server joylashgan KDC taqdim etadi.
Juda ko‘p domenli tarmoqda autentifikatsiyalash uchun Kerberosdan
foydalanish nazariy jihatdan mumkin bo‘lsada, murojaatlar
sonining domenlar
soniga mutanosib ravishda oshishi sababli, so‘rovlarni muayyan KDClarga bir
ma’noda qayta adreslovchi qandaydir markaziy domen qurishga to‘g‘ri keladi.