PROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍA
Territorio kerberos
1. TERRITORIO KERBEROS
Todos los equipos gestionados por un servidor forman un dominio o territorio Kerberos.
Supongamos que Ana quiere solicitar un servicio de Luis y el KDC (un tercero en quien
confían ambas partes (Key Distribution Center)) es Carlos. Tanto Ana como Luis deben
ser conocidos por Carlos (tener un usuario y contraseña).
Primero Ana solicita a Carlos autenticarse mediante un mensaje en claro. Carlos le
envía a Ana dos mensajes. El primer mensaje se llama TGT (Ticket-Granting Ticket) y
está cifrado con una clave privada de Carlos (indescifrable para Ana). El TGT incluye el
identificador de Ana, el periodo de validez de la sesión y la clave de sesión Ana-Carlos.
El segundo mensaje que le envía Carlos a Ana es la etiqueta de sesión Ana-Carlos que
contiene una clave de sesión Ana-Carlos y está cifrado con la clave de Ana. Al estar
cifrado con la clave de Ana solo ella podrá acceder a la clave de sesión Ana-Carlos. Si
Ana es capaz de usar la clave de sesión Ana-Carlos está autenticada.
Una vez autenticada Ana debe solicitar a Carlos el uso del servicio de Luis. Para hacer
la solicitud envía a Carlos un mensaje con el TGT y el identificador del servicio de Luis
al que quiere acceder. Además Ana envía un mensaje Autenticador que contiene su
identificador y una marca de tiempo, cifrado con la clave de sesión Ana-Carlos.
Carlos utiliza su clave secreta para descifrar el TGT y obtener la clave de sesión Ana-
Carlos. Con la clave de sesión Ana-Carlos descifra el Autenticador y lo da por válido
(pues solo Ana lo ha podido enviar ya que es la única que conoce la clave de sesión
Ana-Carlos).
Carlos verifica si Ana tiene permiso para acceder al servicio de Luis y en ese caso le
envía a Ana dos nuevos mensajes. Un mensaje contiene una nueva clave de sesión Ana-
Luis cifrada con la clave de sesión Ana-Carlos (que Ana puede descifrar).
Otro mensaje petición de servicio contiene los datos de Ana (identificador, periodo de
validez) y la clave de sesión Ana-Luis cifrados con la clave de Luis (indescifrable para
Ana).
Ana envía entonces a Luis el mensaje petición de servicio tal y como se lo envió Carlos.
Además le envía un nuevo mensaje Autenticador con su identificador y una marca de
tiempo cifrado con la clave de sesión Ana-Luis.
Luis descifra con su clave secreta el mensaje petición de servicio, lo que le garantiza
que la petición proviene de un cliente autenticado (pues lo ha generado Carlos), y
obtiene la clave de sesión Ana-Luis.
Con la clave de sesión Ana-Luis descifra el Autenticador suma uno a la marca de
tiempo y lo devuelve a Ana, de nuevo cifrado por la clave de sesión Ana-Luis.
Ana descifra el Autenticador y verifica que la marca de tiempo es la que había indicado
más uno, lo que sirve para autenticar a Luis.