Kerberos의 동작 원리

컴퓨터 네트워크에서 활용되는 Kerberos는 사용자, 컴퓨터, 서비스 간의 상호 인증을 수행하는 데 사용되는 프로토콜이다.

기본적인 Kerberos의 동작 원리는 다음과 같다.

1. 인증 서버에 로그인

 사용자가 클라이언트 시스템에 로그인하면 클라이언트는 사용자의 이름과 비밀번호를 사용하여 인증 서버(Authentication Server, AS)에 인증 요청을 보낸다. Azure AD나, AWS IAM, Okta등의 IdP 서버는 Kerberos의 인증을 지원하지 않기 때문에, 가장 흔하게 접할 수 있는 Active Directory 서버가 인증 서버(AS)의 역할을 수행한다고 생각하면 된다.

2. Ticket Granting Ticket (TGT) 수령

 인증 서버는 사용자를 인증하고, 암호화된 "티켓 부여 티켓"(Ticket-Granting Ticket, TGT)을 제공한다. 이 TGT에는 사용자의 자격 증명이 포함되어 있으며, 티켓 부여 서버(Ticket-Granting Server, TGS)는 이를 이용하여 사용자를 인증할 수 있다. 일반적으로 AS서버가 TGS 역할을 같이 수행한다.

3. 서비스 티켓 요청

 사용자가 특정 서비스나, 웹 서버에 액세스하려고 할 때, 클라이언트는 TGT와 함께 TGS에 "서비스 티켓"을 요청한다. TGS는 TGT를 검사하여 사용자를 인증하고, 서비스 티켓을 발급하는데, 이 서비스 티켓은 특정 서비스를 사용하기 위한 "키"로 사용된다.

4. 서비스 액세스

 클라이언트는 이 서비스 티켓을 사용하여 특정 서비스에 액세스하며, 서비스는 티켓을 검사하여 사용자를 인증하고, 적절한 권한을 부여할 수 있다.

이렇게 Kerberos 프로토콜은 암호화된 티켓을 사용하여 네트워크상에서 사용자를 안전하게 인증하고, 서비스에 대한 액세스를 제어하여, SSO 서비스를 제공할 수 있게 된다.