Chapitre 2: Le protocole
Kerberos
Module: Administration du service d’authentification (MQ9)
Enseignant: [Link]
�Introduction
• Le protocole Kerberos est un système d’authentification réseau qui
permet aux utilisateurs et aux services de s’authentifier
mutuellement de manière sécurisée. Il repose sur un mécanisme de
tickets et utilise la cryptographie à clé secrète pour éviter l’échange
de mots de passe en clair sur le réseau.
• Développé au MIT dans les années 1980, Kerberos est aujourd’hui
largement utilisé, notamment dans les environnements Windows
Active Directory (AD), ainsi que dans les systèmes UNIX/Linux.
2
�1. Concepts fondamentaux du protocole Kerberos
1.1 Définition
• Kerberos est un protocole d’authentification unique (Single Sign-On -
SSO) qui permet aux utilisateurs de prouver leur identité auprès de
plusieurs services sans avoir à réutiliser leur mot de passe après la
première authentification.
• Il repose sur trois entités principales :
• Client (Utilisateur ou Service)
• Serveur de services (Service à accéder)
• Serveur d’authentification (KDC - Key Distribution Center)
3
�1.2 Objectifs de Kerberos
• Sécuriser l’authentification en évitant l’envoi de mots de passe sur le
réseau.
• Authentifier les utilisateurs et les services de manière
bidirectionnelle.
• Fournir un mécanisme de Single Sign-On (SSO).
• Utiliser le chiffrement pour protéger les communications.
4
�2. Architecture et fonctionnement de Kerberos
• Le fonctionnement de Kerberos repose sur un centre de distribution
des clés (KDC - Key Distribution Center) qui délivre des tickets aux
utilisateurs et services.
5
�2.1 Les composants principaux de Kerberos
Composant Description
L’entité qui souhaite s’authentifier et
Client (Utilisateur ou Service)
accéder à un service.
Le serveur hébergeant les ressources
Service à protéger
auxquelles le client veut accéder.
Serveur central qui gère l’authentification
KDC (Key Distribution Center)
et l’émission des tickets.
Partie du KDC qui vérifie l’identité de
AS (Authentication Server) l’utilisateur et émet un Ticket Granting
Ticket (TGT).
Partie du KDC qui délivre des tickets pour
TGS (Ticket Granting Server) accéder aux services après vérification du
TGT. 6
�2.2 Le processus d’authentification Kerberos
• L’authentification avec Kerberos se déroule en trois étapes
principales :
• Étape 1 : Authentification initiale et obtention du TGT
• Le client envoie une demande d’authentification au serveur
d’authentification (AS).
• L’AS vérifie l’identité du client et lui envoie un Ticket Granting Ticket (TGT),
chiffré avec une clé secrète basée sur le mot de passe de l’utilisateur.
• Le client déchiffre le TGT avec son mot de passe et le stocke localement.
7
�• Étape 2 : Obtention du Ticket d’Accès (TGS)
• Lorsqu’un client veut accéder à un service, il envoie une requête au Ticket
Granting Server (TGS) avec son TGT.
• Le TGS vérifie le TGT et génère un Ticket de Service (Service Ticket) pour le
service demandé.
• Étape 3 : Accès au service
• Le client envoie le Service Ticket au serveur de service.
• Le serveur vérifie la validité du ticket et accorde l’accès au service sans
demander de mot de passe supplémentaire.
8
�2.3 Exemple illustré du fonctionnement
• Les étapes de l’authentification dans le modèle de Kerberos sont
présentées de façon détaillée dans la Figure suivante:
9
�10
� Le client envoie au serveur d’authentification le message 1 « KRB AS
REQ » : où il précise son nom et demande un ticket qui va présenter
ensuite au TGS afin de contacter le destinataire.
Le serveur d’authentification lui répond avec le message 2 « KRB AS
REP » : Le serveur d’authentification cherche le client dans sa base de
données. S’il le trouve, il génère une clé de session qui devra être
utilisée entre le client et le TGS. Cette clé est chiffrée avec la clé
secrète du client : c’est la première partie du message. Ensuite, il crée
un ticket pour le client afin qu’il puisse s’authentifier auprès du TGS,
ce ticket est chiffré avec la clé secrète du TGS. Le client ne pourra pas
le déchiffrer mais pourra le présenter tel quel est à chaque requête au
TGS. Dans ce cas particulier, le ticket est appelé TGT.
11
� Ensuite, avec le message 3 « KRB TGS REQ » le client s’authentifie
auprès de TGS et demande le ticket de service qu’il souhaite avoir
accès. Pour cela, le client fourni au TGS d’une part le nom du serveur
qu’il souhaite contacter, d’autre part le ticket TGT et un identificateur
qui possède des informations crypté avec la clé de session et cet
identificateur est vérifiable à partir du ticket par le TGS.
Grâce à sa clé secrète, le TGS déchiffre le ticket, et récupère la clé de
session et peut ainsi déchiffrer l’identificateur.
12
�Il compare le contenu de l’identificateur avec les informations
contenues dans le ticket et si tout concorde (le client est authentifiée),
il peut générer une clé de session (qui sera utilisée entre le client et le
service souhaité) qu’il chiffre avec la clé de session et un nouveau ticket
que le client devra présenter au service. Ces deux derniers seront la
réponse de TGS au client contenant dans le message 4 « KRB TGS REP
». Après réception de ce message et déchiffrement, le client dispose
donc en plus de la clé de session et de TGT (qu’il conserve jusqu’à
expiration du ticket pour dialoguer avec TGS) déjà obtenue par le AS,
d’une nouvelle clé de session et d’un nouveau ticket qu’il pourra
utiliser avec service vers lequel il souhaite accéder.
13
�• Le message 5 « KRB AP REQ » correspond à la demande de service
souhaité par le client, il s’authentifier auprès de ce service de la
même manière qu’avec le TGS (message 3(KRB TGS REQ)).
• Et le message 6 « KRB AP REP » est une réponse à la demande.
De son coté, le service accédé s’authentifie en prouvant qu’il a pu
déchiffrer le ticket reçu par le client et donc, il possède la clé de
session. Pour cela, il faut qu’il renvoie une information vérifiable par le
client et chiffrée avec cette clé. Pour éviter les attaques de type «replay
». En vérifiant cela, le client est maintenant sûr de l’identité de service
et dispose d’une clé de session utilisable pour chiffrer les
communications entre les deux.
14
�3. Sécurité et cryptographie dans Kerberos
• Kerberos repose sur plusieurs mécanismes de cryptographie pour
sécuriser l’authentification.
15
�3.1 Algorithmes de chiffrement
• Kerberos utilise la cryptographie à clé secrète avec des algorithmes
comme :
• AES (Advanced Encryption Standard) (couramment utilisé)
• RC4-HMAC (ancien mais encore présent)
• DES (obsolète et déconseillé)
16
�3.2 Protection contre les attaques
Type d’attaque Protection par Kerberos
Aucun mot de passe en clair n’est
Interception des mots de passe
transmis sur le réseau.
Utilisation de timestamps et de tickets
Rejeu (Replay Attack)
temporaires.
Chaque ticket est signé et chiffré,
Usurpation d’identité
empêchant la falsification.
17
�4. Implémentations et utilisation de Kerberos
4.1 Environnements supportant Kerberos
• Kerberos est implémenté dans plusieurs systèmes :
✅ Windows Active Directory (AD) → Par défaut pour l’authentification des
utilisateurs.
✅ Linux / UNIX → Implémenté avec MIT Kerberos ou Heimdal Kerberos.
✅ macOS → Compatible avec Kerberos pour les accès réseau.
✅ Applications Web → Utilisation via des modules Apache ou IIS.
18
�4.2 Intégration avec Active Directory
• Dans un domaine Windows :
• Le contrôleur de domaine joue le rôle de KDC.
• Les utilisateurs et services s’authentifient automatiquement via
Kerberos.
• Kerberos permet l’authentification unique (SSO) pour les utilisateurs
du domaine.
19
�5. Avantages et inconvénients de Kerberos
5.1 Avantages
• Sécurité renforcée : Aucun mot de passe en clair sur le réseau.
• Authentification unique (SSO) : Un seul login pour plusieurs services.
• Réduction des risques d’usurpation grâce aux tickets chiffrés.
• Intégration avec Active Directory et autres services.
20
�5.2 Inconvénients
• Complexité de mise en place et de gestion.
• Sensibilité aux problèmes de synchronisation d’horloge (NTP
obligatoire).
• Si le KDC tombe en panne, l’authentification est bloquée.
21
�6. Bonnes pratiques pour sécuriser Kerberos
• Utiliser des algorithmes de chiffrement modernes (AES plutôt que
DES ou RC4).
• Synchroniser les horloges des serveurs avec NTP pour éviter les
erreurs de timestamps.
• Mettre en place une haute disponibilité pour le KDC (redondance).
• Limiter la durée de validité des tickets pour minimiser les risques.
• Auditer les logs Kerberos pour détecter les tentatives d’attaques.
22
�7. Comparaison entre Kerberos et d’autres
protocoles d’authentification
Protocole Sécurité Mécanisme Exemples d’usage
Windows AD, UNIX,
Kerberos 🔒🔒🔒🔒 Tickets chiffrés
Linux
Base de données Active Directory,
LDAP 🔒🔒
d’identifiants OpenLDAP
Applications Web,
OAuth 2.0 🔒🔒🔒 Tokens d’accès
API
Authentification Google, Microsoft
SAML 🔒🔒🔒
fédérée 365
23
�Conclusion
• Kerberos est un protocole robuste et sécurisé, largement utilisé pour
l’authentification des utilisateurs et services dans les environnements
Windows Active Directory, UNIX et Linux. Il permet un accès sécurisé
aux ressources réseau grâce à un mécanisme de tickets chiffrés,
évitant ainsi l’exposition des mots de passe.
24
