12 Net Auth.html

<html>
	<head>
		<meta charset="utf-8">
		<meta name="viewport" content="width=device-width, initial-scale=1.0">
		<link rel="stylesheet" href="css/reveal.css">
		<link rel="stylesheet" href="css/theme/white.css">
		<style type="text/css">.reveal p { text-align: left; }</style>
		<style type="text/css">.reveal blockquote { font-size: 50%; }</style>
		<style type="text/css">.reveal table { font-size: 70%; }</style>
		<style type="text/css">.reveal p img { border: 0px; }</style>
		<style type="text/css">.reveal p.small { font-size: 80%; }</style>
	</head>
	<body>
		<div class="reveal">
			<div class="slides">

				<section data-markdown>
# Разграничение доступа, нужда в точном времени

Протоколы Интернет, лекция 12
				</section>

				<section data-markdown>
### План

> - Алиса, чего ты хочешь?
> - Просто хочу убить время
> - Время очень не любит, когда его убивают

* Точное время
* Kerberos
* Пользователь на сервере
				</section>

				<section data-markdown>
## Точное время

* Определение времени
* Измерение времени
* Астрономическое время
* Атомное время
* Скоординированное время
* Високосные секунды
* Время в компьютере
				</section>

				<section data-markdown>
### Время в философии

у античных философов — Аристотель

> связывает время как суть изменения с движением, причем в сам термин «движение» вкладывается примерно тот смысл, что и в современное понятие «процесс»

о времени у Декарта

> Так, время, которое мы отличаем от длительности, взятой вообще, и называем числом движения, есть лишь известный способ, каким мы эту длительность мыслим.
> A чтобы объять длительность всякой вещи одной мерой, мы обычно пользуемся длительностью известных равномерных движений, каковы дни и годы, и эту длительность, сравнив ее таким образом, называем временем, хотя в действительности то, что мы так называем есть не что иное, как способ мыслить истинную длительность вещей
				</section>

				<section data-markdown>
### Определение времени

Пусть у нас есть два локальных события – А и Б

Говорим, что Б произошло позже А, если Б произошло вследствие А 
* более раннее событие может и не быть причиной более позднего, но оно с уверенностью не является его следствием

Таким образом, все события можно выстроить в одну цепочку так, чтобы каждое предшествовало всем своим следствиям (возможно, не единственным способом)
				</section>

				<section data-markdown>
### Определение времени

В получившейся цепочке события можно перенумеровать, и число, сопоставленное событию А, назвать временем события А

Так определённое время задаёт лишь последовательность событий – по времени двух событий можно установить, какое из них произошло раньше и поэтому могло быть причиной другого

Сам способ сопоставления числа событию выбирается произвольно, этот способ много раз менялся
				</section>

				<section data-markdown>
### Более формальное определение времени

Это одно из возможных определений, другие можно поглядеть отталкиваясь от статьи [Время](https://ru.wikipedia.org/wiki/Время)

Определение 1. Назовем состоянием тела (системы тел) набор параметров, характери&shy;зующих тело (систему тел) в данной задаче
* Из опыта следует, что существуют такие тела, для которых некоторые параметры при выполнении ряда повторных измерений изменяются
				</section>

				<section data-markdown>
Определение 2. Назовем *процессом* явление изменения состояния

Утверждение 1. Существует хотя бы один процесс

Неопределяемое понятие 1. Примем без определения понятие *одновременности* двух событий, происшедших в одной и той же точке пространства, где расположен наблюдатель

Неопределяемое понятие 2. Примем понятие *позже* для двух событий, происшедших в одной и той же точке, что и наблюдатель

Note:
* Естественно, требование, чтобы два события и наблюдатель находились в одной точке пространства, нереализуемо
* Физически более правильно требовать, чтобы наблюдаемые события и начало системы отсчета, к которой относит измерения наблюдатель, находились в малой области пространства
* Подразумевается, что введена система отсчета, в которой координаты этих событий совпадают, и наблюдатель относит свои измерения именно к этой системе отсчета
				</section>

				<section data-markdown>

Определение 3. Пусть в точке пространства, где расположен наблюдатель, происходят два события, А и Б, которое произошло позже А

Проведем одновременно с событием А измерение выбранного параметра у эталонного процесса, протекающего в той же точке пространства.
Аналогичное измерение выполним и для второго процесса

Разность значений этих параметров для второго и первого событий по определению есть промежуток *эталонного времени*
				</section>

				<section data-markdown>
Определение 4. Выберем фиксированное событие. Промежуток эталонного времени между произвольным процессом и фиксированным по определению есть эталонное время

Утверждение 2. Существует такой эталонный процесс, что найдется хотя бы одна система отсчета, для которой верно:
если тело свободно, то его скорость, измеренная с помощью этого эталона, величина постоянная (1 закон Ньютона)

Определение 5. Такой процесс назовем *однородным*, а эталонное время, измеренное с его помощью, назовем просто *временем*
				</section>

				<section data-markdown>
### Отступление в сторону

Стивен Хокинг «Краткая история времени от большого взрыва до черных дыр»

[Спросите Итана №80](https://habr.com/ru/post/396477/): может ли пространство расширяться быстрее скорости света?
				</section>

				<section data-markdown>
### Измерение времени

Легче всего измерять время (сопоставлять событиям численное значение времени) с помощью некоторого периодического процесса

На шкале времени, выбранной по какому-то одному периодическому событию, какое-то другое может происходить неравномерно

Шкала времени совершенствовалась так, чтобы наиболее важные для науки периодические процессы происходили равномерно
				</section>

				<section data-markdown>
### Астрономическое время

Самый простой для наблюдения периодический процесс - вращение Земли и связанная с этим смена дня и ночи

Следующий шаг - использование видимого солнечного времени
* Полдень - время наивысшего положения солнца над горизонтом - принято за 12 часов
* Интервал между полуднями - видимый солнечный день - поделён на 24 часа
				</section>

				<section data-markdown>
Положение Солнца и длина видимого дня в течение года колеблется –
[Уравнение времени](https://ru.wikipedia.org/wiki/Уравнение_времени)

Окончательно за меру времени было принято *среднее солнечное время* - «неподвижные» звёзды оказываются в одинаковом положении каждые сутки в одно и то же время
* отражает только вращение Земли, и вопреки названию уже не связано с солнцем

Расхождение с видимым солнечным временем может составлять до 16 минут
				</section>

				<section data-markdown>
### Аналемма
![](https://upload.wikimedia.org/wikipedia/commons/thumb/7/74/Analemma_pattern_in_the_sky.jpg/740px-Analemma_pattern_in_the_sky.jpg)
				</section>

				<section data-markdown>
### Астрономическое время

«Астрономический» стандарт времени - GMT, среднее время по Гринвичу, Greenwich Mean Time
* среднее солнечное время 0 меридиана

Это время недостаточно точно
* из-за приливов и отливов Земля [замедляет своё вращение](https://ru.wikipedia.org/wiki/Приливное_ускорение) на 1,7 мс/век,
* «неподвижность» звёзд спорна
* точность астрономических наблюдений недостаточна для тех применений, где важны милли- и микросекунды
				</section>

				<section data-markdown>
### Универсальное время

С 1884 г. за международный стандарт времени было принято GMT с поправкой на целое число часов, отвечающее «часовому поясу», или меридиану ближайшего к наблюдателю административного центра

Этот стандарт - UT (Universal Time), или UT0
* позже были приняты «уточняющие» стандарты UT1 и UT2, всё ещё опирающиеся на астрономические наблюдения
				</section>

				<section data-markdown>
### Часовые пояса 

![](https://upload.wikimedia.org/wikipedia/commons/thumb/8/88/World_Time_Zones_Map.png/800px-World_Time_Zones_Map.png)
				</section>

				<section data-markdown>
### Атомное время

В 1955 для точного измерения времени впервые были применены атомные часы, основанные на собственных колебаниях атома, связанных с его внутренней структурой

[Как устроены атомные часы](http://old.computerra.ru/vision/654307/)

С 1967 г. они приняты международным бюро мер и весов (BIPM, Bureau International des Poids et Mesures) за эталон

Секундой называется интервал между 9 192 631 770 межуровневыми переходами атома цезия-133 (число переходов выбрано для соответствия со средним солнечным временем)
				</section>

				<section data-markdown>
### Международное атомное время

TAI, Temps Atomique International

Среднее время между 400+ атомными часами в 50+ национальных лабораториях
* гарантирует сохранение эталонного точного времени даже в случае каких-либо глобальных катастроф
				</section>

				<section data-markdown>
### Скоординированное время

В 1972 было замечено, что GMT и TAI расходятся из-за неточной пропорциональности суточного и годового периода вращения Земли, а также неравномерности её суточного вращения

UTC, Coordinated Universal Time, Temps Universel Coordonné 

Если замедление вращения Земли будет в среднем происходить с такой же скоростью как сейчас, то секунды координации надо будет вводить с ускорением примерно 60 секунды/век
				</section>

				<section data-markdown>
### Високосная секунда

Для согласования международного времени с солнечным введены «високосные секунды» (leap seconds, секунда координации),
добавляемые или вычитаемые из UTC по решению международной службы вращения земли (IERS, International Earth Rotation Service)
для поддержания разницы между UT и GMT менее 0,9 сек

По решению IERS «високосные секунды» могут добавляться в ночь на 1 июля или 1 января

После времени 23:59:59 идёт 23:59:60
				</section>

				<section data-markdown>
### Время в компьютере

Время в компьютерах обычно хранится в виде числа секунд с некоторой опорной даты – 1 января 1970, 1 января 1900, 1 января 1600, или какой-либо ещё 

Одним из недостатков UTC является нетривиальность (для дат в прошлом) и невозможность (для дат в будущем) точного перевода хранимого времени в привычную человеку форму

А если время меняется с летнего на зимнее?
				</section>

				<section data-markdown>
### Время и компьютеры

количество дней зависит от текущей локали

```
$ LC_ALL='ru_RU.UTF-8' ncal 2 1918
    Февраль 1918
Пн    18 25
Вт    19 26
Ср    20 27
Чт 14 21 28
Пт 15 22
Сб 16 23
Вс 17 24

$ LC_ALL='en_US.UTF-8' ncal 2 1918
    February 1918
Su     3 10 17 24
Mo     4 11 18 25
Tu     5 12 19 26
We     6 13 20 27
Th     7 14 21 28
Fr  1  8 15 22
Sa  2  9 16 23
```
				</section>

				<section data-markdown>
### Время и компьютеры

Вы знаете всё про время в компьютерах? 
* [falsehoods-programmers-believe-about-time](http://infiniteundo.com/post/25509354022/more-falsehoods-programmers-believe-about-time)
* [Заблуждения программистов относительно времени](https://habr.com/ru/post/146109/)
* Вот тут отменили пятницу - 
  [samoa-to-skip-friday-and-switch-time-zones](http://www.nytimes.com/2011/12/30/world/asia/samoa-to-skip-friday-and-switch-time-zones.html)
* Вот тут отменили минут пять -
  [timeanddate.com/time/change/singapore/singapore?year=1905](http://www.timeanddate.com/time/change/singapore/singapore?year=1905)
				</section>

				<section data-markdown>
### Проблемы без компьютеров

Специальная теория относительности (СТО) - движение тел в пустом (не искривленном) пространстве-времени.
[СТО в картинках](https://habr.com/ru/post/169347/)

Общая теория относительности (ОТО) - явления гравитации и искривление пространства-времени объектами, обладающими массой

Время не является абсолютной величиной, а зависит от выбранной системы отсчета

У неподвижного наблюдателя время всегда идет быстрее, чем у движущегося
				</section>

				<section data-markdown>
### Время - синхронизация

В компьютерных системах часто требуется иметь точно синхронизированное время (при этом не важно, какая именно величина времени будет использоваться)

Примером может быть распределённая система, где есть несколько компьютеров, принимающих запросы и передающих их на центральный сервер для обработки
				</section>

				<section data-markdown>
### Время - точное время

В компьютерных системах часто требуется точно знать текущее время

Примером может быть обсерватория, которая должна наблюдать какие-то события точно в тот момент, когда Земля будет проходить конкретную точку своей орбиты
				</section>

				<section data-markdown>
### Время - централизованность

Есть потребность и в централизованных службах точного времени, т.е. недостаточно было бы просто поставить на каждый компьютер цезиевые часы, даже если бы это было возможно

Централизованная служба может быть достоверной, тогда как системные часы отдельных компьютеров могут показывать неверное время из-за поломки, преднамеренного повреждения и т.п.
				</section>

				<section data-markdown>
### Network Time Protocol

области применения NTP
* синхронизация системных часов внутри организации
* синхронизация системных часов с эталонными
* получение точного времени из достоверной службы
				</section>

				<section data-markdown>
### Первые протоколы времени

Первые протоколы для передачи времени по сети появились в 1983 г (RFC867 и RFC868)

DAYTIME - 13/tcp
```
telnet time.nist.gov 13
57442 16-03-3 11:06:47 00 0 0 925.0 UTC(NIST) *
```

TIME - 37/udp
* На подключившийся к TIME-серверу компьютер приходит UDP-пакет, содержащий единственное 32-битное беззнаковое число прошедших с 1 января 1900 г. секунд по UTC
				</section>

				<section data-markdown>
### NTP – алгоритм работы

У одного человека не было наручных часов, но зато дома висели точные настенные часы, которые он иногда забывал заводить

Однажды, забыв в очередной раз завести часы, он отправился в гости к своему другу, провел у того вечер, а вернувшись домой, сумел правильно поставить часы

Каким образом ему удалось это сделать, если время в пути заранее известно не было? 

> Рэймонд М. Смаллиан «Как же называется эта книга?»
				</section>

				<section data-markdown>
### NTP – алгоритм работы

![](images/time-ntp-algorithm.png)
				</section>

				<section data-markdown>
### NTP - сеть серверов

![](images/time-ntp-stratum.png)
				</section>

				<section data-markdown>
### NTP - формат времени

[RFC 5905](https://tools.ietf.org/html/rfc5905) - Network Time Protocol Version 4

[RFC 4330](https://tools.ietf.org/html/rfc4330) - Simple Network Time Protocol (SNTP)

123/udp

Время - 64-битное число (8 байт), отсчитывается с 1 января 1900 года, а не с 1970

SECS_of_70_YEARS = 2_208_988_800
```
0                   1                   2                   3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                            Seconds                            |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                            Fraction                           |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
```
				</section>

				<section data-markdown>
### Пакет NTP

```
0                   1                   2                   3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|LI | VN  |Mode |    Stratum     |     Poll      |  Precision   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                         Root Delay                            |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                         Root Dispersion                       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                          Reference ID                         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
+                     Reference Timestamp (64)                  +
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
+                      Origin Timestamp (64)                    +
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
+                      Receive Timestamp (64)                   +
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
+                      Transmit Timestamp (64)                  +
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
.                                                               .
.                    Extension Field 1 (variable)               .
.                                                               .
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
.                                                               .
.                    Extension Field 2 (variable)               .
.                                                               .
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                          Key Identifier                       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|                            dgst (128)                         |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
```
				</section>

				<section data-markdown>
### Практическое использование

* USNO, NIST
* Национальные службы времени
* GPS
* [pool.ntp.org](http://www.pool.ntp.org/ru/)

в Windows
```
net time /setsntp:europe.pool.ntp.org
```
				</section>

				<section data-markdown>
### Практическое использование

Как менять время?

Скачком?
* sudo ntpdate -s ru.pool.ntp.org
* w32tm /resync

Ускоряя/замедляя часы?
				</section>

				<section data-markdown>
### Проблемы сети NTP

Перегрузка публичных серверов
* USNO – порядка 20 NTP серверов
* Нагрузка 3,000-7,000 пакетов в секунду на сервер
* Нагрузка на сеть, а не на серверы
* Сильно отличающееся время ответа, потери пакетов

Некорректные реализации протокола

Встречают серверы 1 стратума с совсем неправильным временем
				</section>

				<section data-markdown>
### PTP

Иногда точности времени NTP недостаточно
* электроэнергетика (требует точности 1 мкс)
* финансовые транзакции также требуется точность в мкс

IEEE 1588 Precision Time Protocol (PTP), 
позволяет добиться точности синхронизации времени [порядка наносекунд](https://habr.com/ru/post/163253/)
				</section>

				<section data-markdown>
## Kerberos

Реализация [SSO](https://ru.wikipedia.org/wiki/Технология_единого_входа) (Single Sign-On, технология единого входа) в корпоративных сетях

[Принцип работы (на cryptowiki)](http://cryptowiki.net/index.php?title=Керберос)

Назван в честь трёхголового пса, защищающего выход из царства Аида — Цербера (Кербера)

Трём головам Цербера в протоколе соответствуют три участника безопасной связи: клиент, сервер и доверенный посредник между ними

Note:
Роль посредника здесь играет центр распределения ключей «Key distribution center», KDC
				</section>

				<section data-markdown>
### Ключевые особенности

Проверка подлинности принципалов (например, пользователя рабочей станции или сетевого сервера) в открытой (незащищенной) сети

Без доверия к адресам хостов, без физической защиты всех хостов в сети и при условии, что пакеты, проходящие по сети, можно читать, изменять и вставлять по желанию

Kerberos - доверенная сторонняя служба аутентификации с использованием обычной криптографии (с общим секретным ключом)
				</section>

				<section data-markdown>
### Терминология

Билет (ticket) - временные данные, выдаваемые клиенту для аутентификации на сервере, на котором располагается необходимая служба

Клиент (client) - некая сущность в сети (пользователь, хост или сервис), которая может получить билет от Kerberos

Центр выдачи ключей (key distribution center, KDC) - сервис, выдающий билеты Kerberos
				</section>

				<section data-markdown>
### Терминология

Область (realm) – сеть, используемая Kerberos, состоящая из серверов KDC и множества клиентов. Имя realm регистрозависимо, обычно пишется в верхнем регистре и совпадает с именем домена

Принципал (principal) – уникальное имя для клиента, для которого разрешается аутентификация в Kerberos. Записывается в виде root[/instance]@REALM
				</section>

				<section data-markdown>
### Принципал

Имя принципала должно быть уникальным
* имена пользователей и компьютеров не должны совпадать
* часто принципал для компьютера - PCNAME$

Типы принципала (не влияет на уникальность)
* пользователь
* уникальный сервис (напр., krbtgt)
* сервис с именем хоста (напр., для ssh - host/servername, для www - http/servername)
* и др.
				</section>

				<section data-markdown>
### Окружение

Проблему «Denial of service» не решаем

Проблему «Password guessing» не решаем

Принципалы обязаны хранить секретный ключ в безопасности

Время на всех хостах в сети должно быть «примерно одинаковое»
				</section>

				<section data-markdown>
### Протокол Нидхема-Шрёдера

В основе протокола Kerberos лежит вариант [протокола Нидхема — Шрёдера](https://ru.wikipedia.org/wiki/Протокол_Нидхема_—_Шрёдера) с использованием временной метки
* общее название для симметричного и асимметричного протоколов аутентификации и обмена ключами
* вариант, основанный на симметричном шифровании, использует промежуточную доверенную сторону
* стал основой целого класса подобных протоколов
				</section>

				<section data-markdown>
### Схема работы

![](images/kerberos-flow.png)
				</section>

				<section data-markdown>
### Kerberos - вход в систему (1)

Пользователь выполняет вход в систему на клиентском хосте,
предоставляя принципал пользователя и требуемый принципал сервиса
* krbtgt/REALM@REALM - сервис при логине

ОС формирует запрос и посылает его Серверу аутентификации (Authentication Server, AS)
Центра распределения ключей (KDC) Kerberos

$$
\text{AS_REQ} = ( Principal_{client} , Principal_{service} , IP_{list} , Lifetime )
$$
				</section>

				<section data-markdown>
### Kerberos - вход в систему (2)

Сервер аутентификации посылает разрешение на получение разрешения (Ticket Granting Ticket),
а также уникальный ключ сессии ($SK_{tgs}$), зашифрованный секретным ключом принципала

$$ TGT = ( Principal_{client} , krbtgt/REALM@REALM , $$
$$ IP_{list}, Timestamp , Lifetime , SK_{tgs} ) $$

$$ \text{AS_REP} = \\{ Principal_{service} , Timestamp , Lifetime , $$
$$ SK_{tgs} \\}_{Kuser} + \\{ TGT \\} _ {Ktgs} $$
				</section>

				<section data-markdown>
### Kerberos - вход в систему (3)

Информация избыточна?
Кажется, дублируются $Principal_{service}$, $Timestamp$, $Lifetime$ и временный ключ сессии

TGT для клиента - неразбираемый набор бит, зашифрован ключом, который только на KDC

Если клиент сможет расшифровать сообщение (AS_REP) с помощью пароля,
то эти удостоверяющие данные считаются корректными
и пользователь становится аутентифицированным
* проверяется время и разовая метка nonce
* у билета есть отметка времени и время жизни
				</section>

				<section data-markdown>
### Хранение ключа и билетов

Для пользователя секретный ключ обычно генерируется на основе пароля
```
$ kinit
Password for lsv@USAAA.RU:
```

Билеты хранятся в структуре keytab («key table», «таблица ключей»)
```
$ klist
Ticket cache: FILE:/tmp/krb5cc_3000
Default principal: lsv@USAAA.RU

Valid starting       Expires              Service principal
06.05.2020 21:55:47  07.05.2020 07:55:47  krbtgt/USAAA.RU@USAAA.RU
        renew until 07.05.2020 07:55:47
```
				</section>

				<section data-markdown>
### Хранение ключа и билетов

Для сервиса секретный ключ обычно генерируется разово при начальной настройке

На сервере Kerberos предварительно нужно создать принципал («сервисного пользователя»)

```
$ ktutil
ktutil: add_entry -p HTTP/doc.usaaa.ru@USAAA.RU -k 1 -e RC4-HMAC -password 
ktutil: write_kt /etc/secretplace/keytab
```

```
C:\>ktpass -princ HTTP/doc.usaaa.ru@USAAA.RU -mapuser squid
    -pass Pa$$word -ptype KRB5_NT_PRINCIPAL -out C:\squid.keytab
```

Аналогичный результат -
при использовании других утилит: kadmin, net ads keytab (из Squid)
				</section>

				<section data-markdown>
### Запрос сервиса (1)

Когда пользователь захочет получить доступ к сервису,
клиент посылает сообщение (KRB_TGS_REQ) Службе выдачи разрешений (Ticket Granting Service, TGS) в составе KDC

$$ Authenticator = \\{ Principal_{client} , Timestamp \\}_{SKtgs} $$

$$ \text{TGS_REQ} = ( Principal_{service} , Lifetime , $$
$$ Authenticator) + \\{ TGT \\}_{Ktgs} $$
				</section>

				<section data-markdown>
### Запрос сервиса (2)

После получения TGS_REQ, Ticket Granting Service расшифровывает TGT используя секретный ключ $K_{tgs}$

Из TGT извлекается $SK_{tgs}$ - сессионный ключ клиента/TGS
$$ TGT = ( Principal_{client} , krbtgt/REALM@REALM , $$
$$ IP_{list}, Timestamp , Lifetime , SK_{tgs} ) $$

Этим ключом расшифровываем аутентификатор
				</section>

				<section data-markdown>
### Уровни защиты

Можно и нужно проверить
* срок жизни TGT
* $Principal_{client}$ в TGT и Authenticator один
* срок жизни Authenticator 
* Timestamp и replay cache (защита от повторов)
* соответствие адреса клиента и $IP_{list}$
				</section>

				<section data-markdown>
### Запрос сервиса (3)

TGS создает уникальный ключ сессии для канала клиент/сервис ($SK_{service}$) и билет ($T_{service}$) для предъявления сервису (сервисное разрешение)
$$ T_{service} = ( Principal_{client} , Principal_{service} , $$
$$ IP_{list} , Timestamp , Lifetime , SK_{service} )$$

$$ \text{TGS_REP} = \\{ Principal_{service} , Timestamp , Lifetime , $$
$$ SK_{service} \\}_{SKtgs} + \\{ T{service} \\} _ {Kservice} $$
				</section>

				<section data-markdown>
### Application Request

$$ Authenticator = \\{ Principal_{client} , Timestamp \\}_{SKservice} $$

$$ \text{AP_REQ} = Authenticator + \\{ Tservice \\}_{Kservice}$$

Приложение не обращается к доверенной стороне за проверкой !

Расшифровывает своим ключом билет $T_{service}$,
извлекает сессионный ключ $SK_{service}$ от TGS,
расшифровывает Authenticator и выполняет проверки
				</section>

				<section data-markdown>
### Жизнь билета

Kerberos позволяет установить в билете дополнительные флаги
* Renewable Ticket - обновление без участия пользователя
* Postdated Ticket - использовать билет позже
* Proxiable Ticket - разрешить сервису работать от имени пользователя
* Forwardable Ticket - чтобы подключиться к другому хосту и продолжить работу
				</section>

				<section data-markdown>
## Пользователь на сервере

Как различать?
* данные Authorization
* токен + база соответствий

На каком уровне различать?
* веб-приложения
* операционная система
				</section>

				<section data-markdown>
### «Анонимный» пользователь

В ОС процессы запускаются в привязке к пользователю

В Unix зависит от дистрибутива и ПО сервера
* nobody, www, www-data, apache, nginx

В IIS (Internet Information Services)
* Пользователь ОС – IUSR
* Раньше – IUSR_ИмяКомпьютера
* Для запуска CGI/сценариев - отдельный пользователь 
				</section>

				<section data-markdown>
### Авторизованный

Зависит от конкретной реализации

Проверка подлинности может производиться ОС (сервер/домен), разрешения доступа определяются ФС — Pass-Through

Проверка подлинности может производиться сервером и в конфигурации что-то типа
```
Require valid-user
```

Проверка подлинности может производиться приложением, и доступ к ФС на общих основаниях, различия, например, в доступе к БД
				</section>
				
				<section data-markdown>
# Вопросы ?
				</section>

			</div>
		</div>
		<script src="js/reveal.js"></script>
		<script>
			Reveal.initialize({
				hash: true,
				slideNumber: true,
				center: false,
				dependencies: [
					{ src: 'plugin/markdown/marked.js' },
					{ src: 'plugin/markdown/markdown.js' },
					{ src: 'plugin/math/math.js', async: true },
					{ src: 'plugin/notes/notes.js', async: true },
					{ src: 'plugin/highlight/highlight.js', async: true }
				]
			});
		</script>
	</body>
</html>