Gestión de la autenticación, autorización y auditoría con Kerberos/NTLM
Kerberos, un protocolo de autenticación de red de equipos, proporciona una comunicación segura a través de Internet. Diseñado principalmente para aplicaciones cliente-servidor, proporciona una autenticación mutua mediante la cual el cliente y el servidor pueden garantizar la autenticidad del otro. Kerberos utiliza un tercero de confianza, denominado Centro de distribución de claves (KDC). Un KDC consta de un servidor de autenticación (AS), que autentica a un usuario, y un servidor de concesión de tíquets (TGS).
Cada entidad de la red (cliente o servidor) tiene una clave secreta que solo es conocida por sí misma y por el KDC. El conocimiento de esta clave implica la autenticidad de la entidad. Para la comunicación entre dos entidades de la red, el KDC genera una clave de sesión, denominada tíquet Kerberos o tíquet de servicio. El cliente realiza una solicitud al AS para obtener credenciales para un servidor específico. A continuación, el cliente recibe un tíquet, denominado Tíquet de concesión de tíquets (TGT). A continuación, el cliente se pone en contacto con el TGS, mediante el TGT que recibió del AS para demostrar su identidad, y solicita un servicio. Si el cliente puede usar el servicio, el TGS emite un tíquet Kerberos al cliente. A continuación, el cliente se pone en contacto con el servidor que aloja el servicio (denominado servidor de servicio), mediante el tíquet Kerberos para demostrar que está autorizado a recibir el servicio. El tíquet Kerberos tiene una vida útil configurable. El cliente se autentica con el AS solo una vez. Si se pone en contacto con el servidor físico varias veces, reutiliza el tíquet AS.
La siguiente ilustración muestra el funcionamiento básico del protocolo Kerberos.
Ilustración 1. Funcionamiento de Kerberos
La autenticación Kerberos tiene las siguientes ventajas:
- Autenticación más rápida. Cuando un servidor físico obtiene un tíquet Kerberos de un cliente, el servidor tiene suficiente información para autenticar el cliente directamente. No tiene que ponerse en contacto con un Controller de dominio para la autenticación del cliente y, por lo tanto, el proceso de autenticación es más rápido.
- Autenticación mutua. Cuando el KDC emite un tíquet Kerberos a un cliente y el cliente utiliza el tíquet para acceder a un servicio, solo los servidores autenticados pueden descifrar el tíquet Kerberos. Si el servidor virtual del dispositivo Citrix ADC puede descifrar el tíquet Kerberos, puede concluir que tanto el servidor virtual como el cliente están autenticados. Por lo tanto, la autenticación del servidor ocurre junto con la autenticación del cliente.
- Inicio de sesión único entre Windows y otros sistemas operativos compatibles con Kerberos.
La autenticación Kerberos puede tener las siguientes desventajas:
- Kerberos tiene requisitos de tiempo estrictos; los relojes de los hosts involucrados deben sincronizarse con el reloj del servidor Kerberos para asegurarse de que la autenticación no falla. Puede mitigar esta desventaja mediante el uso de los daemons del Protocolo de hora de red para mantener sincronizados los relojes del host. Los tíquets Kerberos tienen un período de disponibilidad, que puede configurar.
- Kerberos necesita que el servidor central esté disponible continuamente. Cuando el servidor Kerberos está inactivo, nadie puede iniciar sesión. Puede mitigar este riesgo mediante el uso de varios servidores Kerberos y mecanismos de autenticación de reserva.
- Dado que toda la autenticación está controlada por un KDC centralizado, cualquier compromiso en esta infraestructura, como la contraseña del usuario para una estación de trabajo local que se está robando, puede permitir que un atacante suplante a cualquier usuario. Puede mitigar este riesgo hasta cierto punto mediante solo un equipo de escritorio o portátil en el que confíe, o aplicando la autenticación previa mediante un token de hardware.
Para utilizar la autenticación Kerberos, debe configurarla en el dispositivo Citrix ADC y en cada cliente.
Optimización de la autenticación Kerberos en la autenticación, autorización y auditoría
El dispositivo Citrix ADC optimiza y mejora el rendimiento del sistema mientras que la autenticación Kerberos. El demonio de autenticación, autorización y auditoría recuerda la solicitud Kerberos pendiente para el mismo usuario para evitar la carga en el Centro de distribución de claves (KDC), lo que evitará solicitudes duplicadas.