Wprowadzenie
Kerberos to protokół sieciowej autentykacji oparty na bilecie (ticket-based), opracowany w MIT w latach 80. Jest standardem autentykacji w środowiskach korporacyjnych, szczególnie w ekosystemie Microsoft Active Directory. Zapewnia bezpieczne uwierzytelnianie w niezaufanych sieciach.
Jak działa Kerberos?
Kerberos opiera się na modelu Key Distribution Center (KDC), który składa się z:
- Authentication Server (AS) – wydaje Ticket Granting Ticket (TGT)
- Ticket Granting Server (TGS) – wydaje bilety serwisowe (Service Ticket)
Proces autentykacji przebiega w trzech krokach: AS Exchange → TGS Exchange → Client/Server Exchange.
Zastosowania Kerberos
- Microsoft Active Directory (najpopularniejsze użycie)
- Autentykacja w chmurze (Azure AD, AWS, Google Cloud)
- Systemy Hadoop, Spark i duże klastry Big Data
- Bezpieczne komunikacje w środowiskach CI/CD i Kubernetes
- Single Sign-On (SSO) w korporacjach
- Systemy AI/ML wymagające bezpiecznego dostępu do zasobów
Zalety i wady
- Zalety: odporność na przechwycenie hasła, mutual authentication, skalowalność, single sign-on
- Wady: pojedynczy punkt awarii (KDC), wrażliwość na clock skew, skomplikowana konfiguracja, podatność na ataki Pass-the-Ticket i Golden Ticket
Najlepsze praktyki (2026)
- Włączanie AES-256 encryption
- Regularne rotacje kluczy i kont serwisowych
- Monitorowanie logów Kerberos (Event ID 4768, 4769, 4776)
- Używanie Protected Users Group i tierowanego modelu administracji
- Łączenie z nowoczesnymi rozwiązaniami (OAuth2, OpenID Connect, Zero Trust)
- Regularne testy penetration testing Kerberos
Powiązane pojęcia
Active Directory • NTLM • OAuth 2.0 • Single Sign-On (SSO) • Golden Ticket Attack • Pass-the-Ticket • Zero Trust • LDAP