Implémentation de Kerberos

Utilisation de Kerberos dans le Studio Talend avec Big Data v6.x

EnrichVersion
6.4
6.3
6.2
6.1
6.0
EnrichProdName
Talend Open Studio for Big Data
Talend Big Data
Talend Big Data Platform
Talend Data Fabric
Talend Real-Time Big Data Platform
task
Création et développement > Création de Jobs > Distributions Hadoop
Gouvernance de données > Systèmes tiers > Composants d'authentication > Composants Kerberos
Création et développement > Systèmes tiers > Composants d'authentication > Composants Kerberos
Qualité et préparation de données > Systèmes tiers > Composants d'authentication > Composants Kerberos
EnrichPlatform
Studio Talend

Kerberos est mature, architecturalement sûr et répond aux besoins des systèmes distribués modernes.

Concepts

Le nom du protocole Kerberos se base sur le chien à trois têtes de la mythologie grecque, Cerbère (Kerberos en grec). Les trois têtes du protocole Kerberos comprennent :

  • le centre de distribution de clés (KDC, Key Distribution Center),

  • l'utilisateur client,

  • le serveur avec accès au service souhaité.

Le centre de distribution de clés : un centre est installé sur le réseau pour gérer la sécurité de Kerberos. Il exécute deux fonctions liées aux services : le Service d'Authentification (Authentication Service, SA) et le Service d'émission de tickets (Ticket-Granting Service, TGS).

Service d'Authentication : Un Service d'Authentification est un service accessible par le réseau s'exécutant dans le centre de distribution de clés et est utilisé pour authentifier les appelants.

Service d'émission de tickets : ce service accorde les accès aux services spécifiques.

Workflow

Le diagramme suivant illustre le workflow pour établir une session sécurisée entre le serveur et le client.

  1. L’utilisateur exécute une commande kinit depuis le client pour obtenir explicitement les tickets Kerberos.

  2. Une fois authentifié, l'utilisateur reçoit un ticket pour d'autre tickets (Ticket to Get Tickets, TGT), valide pour le domaine local (royaume, realm). Le ticket expire et doit être renouvelé par une reconnexion de l'utilisateur à la session, sans saisir à nouveau le mot de passe. Le Service d'authentification envoie le ticket chiffré avec une clé que seul le centre de distribution de clés peut déchiffrer et une clé de session chiffrée avec le hash du mot de passe utilisateur. L'utilisateur présente son ticket pour d'autres tickets à la partie d'émission de tickets du centre de distribution de clés, pour demander l'accès au serveur du service. Le service d'émission de tickets du centre de distribution de clés authentifie le ticket pour d'autres tickets de l'utilisateur et crée un ticket et une clé de session pour le client et le serveur distant.

  3. Une fois l'utilisateur client en possession du ticket de service client/serveur, l’utilisateur peut établir la session avec le service du serveur. Le serveur peut déchiffrer les informations provenant indirectement du service d'émission de tickets à l'aide de sa clé à long terme avec le centre de distribution de clés.

  4. Le ticket de service est utilisé pour authentifier l'utilisateur client et établir une session de service entre le serveur et le client. Une fois le ticket arrivé à expiration, il doit être renouvelé pour pouvoir utiliser le service.