Система автентифікації в інформаційній системі на базі протоколу Kerberos

Всі екземпляри служби KDC одного домену використовують єдиний обліковий запис абонента безпеки з ім'ям krbtgt. При зверненні до центру розподілу ключів домену клієнт повинен вказати як ім'я абонента безпеки krbtgt, так і ім'я домену. Ці відомості наводяться і у білетах, де ідентифікують службу, що видала даний білет.

• База даних облікових записів

База даних, яка необхідна  службі KDC для отримання інформації щодо абонентів безпеки, зберігається в каталозі Active Directory. Кожен абонент  тут представлений у вигляді  профілю. Криптографічні ключі, застосовувані для зв'язку з користувачем, комп'ютером або службою, зберігаються у вигляді атрибутів об'єкта облікового запису конкретного абонента безпеки.

Серверами служби каталогу Active Directory є тільки контролери доменів. На кожному з них зберігається копія каталогу, в яку можна вносити зміни. Це дозволяє створювати нові облікові записи, змінювати паролі і коригувати склад груп, звернувшись на будь-який контролер домену. Зміни, внесені в одну репліку каталогу, автоматично переносяться на всі інші його репліки. Правда, Windows  не використовує для цієї мети протокол реплікації Kerberos. Копіювання та поширення інформації, що зберігається в Active Directory, проводиться за допомогою власного протоколу децентралізованої реплікації (multi-master replication protocol), розробленого корпорацією Microsoft, причому пересилання її здійснюється по захищених каналах між контролерами доменів.

Фізичним зберіганням  інформації про облікові записи управляє агент DSA (Directory System Agent - агент системи  каталогу). Цей захищений процес інтегрований з підсистемою LSA, що працює на контролері домену. Клієнти служби каталогу ніколи не отримують прямого доступу до сховища з даними про облікові записи. Будь-який клієнт, якому потрібна інформація з каталогу, повинен скористатися для підключення до DSA інтерфейсом ADSI (Active Directory Service Interface - інтерфейс служб Active Directory). Лише після цього він може шукати, читати і записувати об'єкти і їхні атрибути.

Запити на доступ до об'єктів  чи атрибутів каталогу підлягають перевірці в системі управління доступом Windows . Подібно об'єктам файлів і папок у файловій системі NTFS, об'єкти Active Directory захищаються за допомогою ACL (Access Control List - список контролю доступу), де міститься інформація про те, хто і яким способом має право звертатися до об'єктів. Правда, в об'єктах Active Directory, на відміну від файлів і папок, список контролю доступу є для кожного атрибута. Самим секретним елементом будь-якого облікового запису, , є пароль. В об'єкті облікового запису атрибут пароля зберігає не сам пароль, а криптографічний ключ, отриманий на його основі, однак цей ключ представляє для зловмисника не меншу цінність. З цієї причини доступ до атрибуту пароля надається виключно власнику облікового запису. Такого права не має ніхто інший, навіть адміністратор. Прочитати інформацію про пароль або змінити її можуть тільки процеси з привілеєм Trusted Computer Base, які працюють в контексті безпеки LSA.

У Windows  прийняті заходи і проти можливого злому облікового запису зсередини, тобто, зловмисником з доступом до резервних копій доменного контролера. Щоб перешкодити цьому, атрибут пароля в об'єкті облікового запису піддається другому шифруванню з використанням системного ключа. Цей криптографічний ключ може зберігатися на змінному носії, для якого неважко передбачити додаткові заходи захисту, або на контролері домену, але під захистом механізму дисперсії. Де зберігати системний ключ, - вибирає адміністратор, одночасно визначаючи алгоритм шифрування атрибутів пароля.

• Політика Kerberos

У середовищі Windows  політика Kerberos визначається на рівні домену та реалізується службою KDC домену. Вона зберігається в каталозі Active Directory як підмножина атрибутів політики безпеки домену. За замовчуванням вносити зміни в політику Kerberos мають право тільки члени групи адміністраторів домену.

У політиці Kerberos передбачаються:

• Максимальний термін дії користувальницького білета (Maximum user ticket lifetime). Під «користувальницьким білетом» тут мається на увазі білет на видачу білетів (білет TGT). Значення задається в годинах і за замовчуванням дорівнює 10 год.
• Максимальний час, протягом якого допускається оновлення користувацького білета (Maximum lifetime that a user ticket can be renewed). Задається в добі; за замовчуванням становить 7 діб.
• Максимальний термін дії службової білета (Maximum service ticket lifetime). Під «службовим білетом» тут мається на у<span class="d