Red Hat Training

A Red Hat training course is available for RHEL 8

33.3. Indicadores de autenticação Kerberos

O Kerberos Key Distribution Center (KDC) anexa authentication indicators a um ticket de concessão de bilhetes (TGT) com base no qual o mecanismo de pré-autenticação utilizado pelo cliente comprova sua identidade:

otp
autenticação de dois fatores (senha One-Time Password)
radius
Autenticação RADIUS (comumente para autenticação 802.1x)
pkinit
PKINIT, cartão inteligente, ou autenticação de certificado
hardened
senhas endurecidas (SPAKE ou FAST)[1]

O KDC então anexa os indicadores de autenticação do TGT a qualquer pedido de tíquetes de serviço que dele resulte. O KDC aplica políticas tais como controle de acesso a serviços, duração máxima do bilhete e idade máxima renovável com base nos indicadores de autenticação.

33.3.1. Indicadores de autenticação e serviços IdM

Se você associar um serviço ou um host com um indicador de autenticação, somente os clientes que utilizaram o mecanismo de autenticação correspondente para obter um TGT poderão acessá-lo. O KDC, não o aplicativo ou serviço, verifica os indicadores de autenticação nos pedidos de bilhetes de serviço, e concede ou nega pedidos com base nas políticas de conexão Kerberos.

Por exemplo, para exigir autenticação de dois fatores para conectar ao host secure.example.com, associar o indicador de autenticação otp ao principal host/secure.example.com@EXAMPLE.COM Kerberos. Somente usuários que utilizaram uma senha One-Time para obter seu TGT inicial do KDC poderão fazer o login.

Se um serviço ou um host não tiver indicadores de autenticação atribuídos a ele, ele aceitará bilhetes autenticados por qualquer mecanismo.

Recursos adicionais



[1] Uma senha endurecida é protegida contra ataques de dicionário de senhas de força bruta utilizando a Troca de Chaves Autenticadas por Chaves Públicas (SPAKE) pré-autenticação e/ou Autenticação Flexível via Túnel Seguro (FAST) blindagem.