Leggevo sull'autenticazione Kerberos e su come la password non viene trasferita sul filo ma esiste nel database kdc per crittografare o decodificare i messaggi, e solo i ticket vengono trasferiti dopo la convalida. Mi chiedo quando l'utente cambia la sua password sul client come aggiornerà la nuova password nel database kdc?
In termini semplici, Kerberos è un protocollo utilizzato per autenticare gli utenti su una rete.
In questo esempio il client può cambiare la password sul computer client, che a sua volta viene salvato nel database delle password di rete, comunemente usato come Active Directory.
Il protocollo Kerberos richiede all'utente di autenticare prima contro un server di autenticazione, in questo esempio sarebbe il server che contiene la directory attiva, comunemente chiamato controller di dominio.
Una volta autenticato, Kerberos assegna un ticket che viene utilizzato al posto della password mentre lo desidera nel protocollo, come la richiesta di ticket di servizio.
Quando si autentica l'utente crittografa un elemento condiviso (un timestamp) con il suo hash, se il kdc riesce a decodificare il timestamp con lo stesso hash restituirà un TGT . Questo è firmato con l'hash della password segreta di kdc. (in ambiente Microsoft questa è la password di krbtgt)
Quando si sostituisce la password è necessario fornire un TGT valido, la password originale e la nuova password crittografate. (e non hash) questo viene fatto usando il protocollo kadmin che usa kerberos come protocollo di trasporto. Vedi link
Leggi altre domande sui tag authentication kerberos