KERBEROS

Kerberos es un protocolo de autenticación de red diseñado para permitir que usuarios y servicios se autentiquen de forma segura en entornos inseguros (como redes corporativas). Su objetivo principal es verificar identidades sin enviar contraseñas por la red, utilizando criptografía simétrica y un sistema de tickets. Fue desarrollado originalmente en el MIT (Massachusetts Institute of Technology) y hoy es el mecanismo de autenticación principal en entornos Active Directory de Windows.

Arquitectura de Kerberos

Kerberos funciona bajo un modelo cliente–servidor–tercero confiable.

1. Cliente

Es el usuario o sistema que desea acceder a un recurso, como por ejemplo: usuario iniciando sesión en Windows o un servidor solicitando acceso a otro servicio

2. KDC (Key Distribution Center)

Es el corazón del sistema Kerberos y normalmente se encuentra dentro del Domain Controller. El KDC tiene dos servicios internos: AS – Authentication Service: Verifica la identidad inicial del usuario y emite el TGT (Ticket Granting Ticket). TGS – Ticket Granting Service: Entrega tickets para acceder a servicios específicos.

3. Service Server (Resource Server)

Es el servidor que contiene el recurso al que el usuario quiere acceder, como por ejemplo: File Server, SQL Server, Web Server, SharePoint, LDAP.

Por qué es Tan Importante en Entornos Windows

Seguridad sin contraseñas:Utiliza tickets (certificados digitales cifrados) en lugar de transmitir contraseñas, lo que protege contra el robo de credenciales.

Centro de Distribución de Claves (KDC):Es el tercero de confianza que verifica identidades y emite tickets.

Autenticación mutua:Tanto el cliente (usuario) como el servidor (servicio) se autentican mutuamente antes de acceder a los recursos.

Inicio de sesión único (SSO):Permite a los usuarios acceder a múltiples aplicaciones y servicios con un solo inicio de sesión.

Kerberos se basa en un modelo de tres cabezas (cliente, servidor y KDC) y es esencial para la seguridad en entornos empresariales distribuidos.