14.3. Kerberos 인증 지표
Kerberos Key Distribution Center(KDC)는 클라이언트가 ID를 증명하는 데 사용되는 사전 인증 메커니즘에 따라 인증 지표를 TGT( ticket-granting ticket)에 연결합니다.
otp- 이중 인증 (암호 + 일회성 암호)
반경- RADIUS 인증 (일반적으로 802.1x 인증용)
pkinit- PKINIT, 스마트 카드 또는 인증서 인증
강화된- 강화된 암호(SPAKE 또는 FAST)[1]
그런 다음 NetNamespace는 TGT의 인증 지표를 TGT의 모든 서비스 티켓 요청에 연결합니다. NetNamespace는 인증 지표에 따라 서비스 액세스 제어, 최대 티켓 수명 및 갱신 가능한 최대 기간과 같은 정책을 적용합니다.
인증 지표 및 IdM 서비스
서비스 또는 호스트를 인증 표시기와 연결하면 해당 인증 메커니즘을 사용한 클라이언트만 TGT에 액세스할 수 있습니다. 애플리케이션 또는 서비스가 아닌 NetNamespace는 서비스 티켓 요청의 인증 지표를 확인하고, Kerberos 연결 정책을 기반으로 요청을 허용하거나 거부합니다.
예를 들어, VPN(Virtual Private Network)에 연결하는 데 2단계 인증이 필요한 경우 otp 인증 표시기를 해당 서비스와 연결합니다. 고유한 TGT를 받기 위해 일회성 암호를 사용한 사용자만 VPN에 로그인할 수 있습니다.
그림 14.1. otp 인증 표시기가 필요한 VPN 서비스의 예
서비스 또는 호스트에 인증 지표가 할당되지 않은 경우 모든 메커니즘에서 인증된 티켓을 수락합니다.
[1]
강화된 암호는FAST(Secure robusting)를 통해 SPAKE(Single-party Public-Key Authenticated Key Exchange) 사전 인증 및/또는 flexible 인증을 사용하여 brute-force 암호 사전 검사 공격을 보호합니다.
