Φθάνοντας στο 2012 και στο νέο Server ο κέρβερος δε θα μπορούσε να μείνει ως έχει ικανοποιώντας τις απαιτήσεις της σύγχρονης εποχής,με το Cloud στον ορίζοντα

Οι πρώτες και σημαντικές αλλαγές έρχονται με τη  βελτίωση του κέρβερου σε ότι αφορά τις ήδη υπάρχουσες εγκαταστάσεις.

                KDC resource group compression

Η συμπίεση των ομάδων των χρηστών δε χρειάζεται περαιτέρω εξήγηση. Με το Active Directory μια δεκαετία στη ζωή μας οι ομάδες και τα Security Identifiers που ανήκουν στους χρήστες έχουν γιγαντωθεί. Για να βελτιωθούν οι επιδόσεις ο κέρβερος πλέον συμπιέζει τα δεδομένα στα εισιτήρια.

Βελτίωση στο Kerberos SSPI context token buffer size

Όταν οι εφαρμογές προσπαθούν να καταλάβουν το μέγεθος των εισιτηρίων συνήθως παρέχουν και την απαιτούμενη μνήμη. Με την πολυπλοκότητα των SID και τις νέες δυνατότητες όπως το Claims Based authentication υπάρχει περίπτωση να μην γίνεται σωστά πιστοποίηση αφού οι εφαρμογές δεν μπορούν να καταλάβουν αυτό το μέγεθος του πακέτου. Φυσικά υπάρχουν και τα αντίστοιχα group-policies για να ρυθμίσουμε το μέγεθος στο επιθυμητό.

Βελτιώσεις στη διαχείριση

Ένα μοντέρνο λειτουργικό σύστημα προσανατολισμένο στο Cloud δε θα μπορούσε να μην έχει μια υπηρεσία που δε χρειάζεται επανεκκίνηση. Στο Server 2012 η υπηρεσία του κέρβερου το kdcsvc δε χρειάζεται επανεκκίνηση για να λάβει ενημερώσεις. Επίσης για την καλύτερη διαχείριση έχουν προστεθεί νέα Events και operational και performance logs για να βοηθήσουν τους διαχειριστές να κατανοήσουν τα προβλήματα του κέρβερου σε ότι αφορά την υλοποίηση και τις επιδόσεις.

Η ώρα του Cloud ….

                Πλησιάζοντας στο Cloud ο κέρβερος αποκτά νέα χαρακτηριστικά για την πιστοποίηση των χρηστών.

Με τους νέους τρόπους σύνδεσης των χρηστών όπως το DirectAccess ο κέρβερος χρειάζεται κάποιον τρόπο να μεταφέρει τις αιτήσεις από τους απομακρυσμένους χρήστες προς το Active Directory. Ο τρόπος αυτός είναι το KDC Proxy service το οποίο αναλαμβάνει να μεταφέρει αυτές τις αιτήσεις.

Ρύθμιση του περιορισμού του κέρβερου στην αντιπροσώπευση εκτός του Forest.Όταν χρησιμοποιείται αντιπροσώπευση μιας υπηρεσίας στον κέρβερο έτσι ώστε να λαμβάνει εισιτήρια ως κάποια άλλη οντότητα μέχρι σήμερα ,είναι δυνατό αυτή η υπηρεσία να μπορεί να πάρει εισιτήρια και ενός άλλου Forest όταν χρησιμοποιούμε Forest Trusts. Η εφαρμογή αυτή μπορεί πλέον να ρυθμιστεί με την εντολή Netdom έτσι ώστε  η αντιπροσώπευση να παραμένει στο δικό μας Forest. Επίσης στις αλλαγές πρέπει να καταγράψουμε και τη δυνατότητα ρύθμισης της αντιπροσώπευσης(delegation) των υπηρεσιών που βρίσκονται μπροστά (frontend) από υπηρεσίες  που τρέχουν πίσω από αυτές (backend). Πλέον μπορούμε να έχουμε μια υπηρεσία που αντιπροσωπεύει μια οντότητα σε ένα άλλο Domain.

Το τελευταίο κομμάτι έρχεται με την προσθήκη του Claims based authentication.

Ο κέρβερος έχει αναβαθμιστεί για να μπορεί να υποστηρίζει εισιτήρια που περιέχουν  πιστοποίηση με Claims(ισχυρισμούς). Ένα σενάριο είναι το Dynamic Access Control το οποίο χρησιμοποιεί Claims για την πιστοποίηση των χρηστών.

Και δυο αναβαθμίσεις για την ασφάλεια:

Kerberos Armoring (Flexible Authentication Secure Tunneling (FAST))

Το Kerberos FAST προστατεύει τα Pre-authentication Data έτσι ώστε να μην είναι δυνατό μια επίθεση offline. Για να το καταφέρει αυτό ο κέρβερος δημιουργεί ένα TGT για τη συσκευή που συνδέεται η οντότητα έτσι ώστε να προστατέψει τα μηνύματα που ανταλλάσει με τον Authentication Server. Επίσης πιστοποιεί και τα μηνύματα λάθους που προέρχονται από το KDC έτσι ώστε να μην τροποποιούνται κατά τη μεταφορά αναγκάζοντας το λειτουργικό σύστημα να ζητάει πιστοποίηση με NTLM ή χειρότερη κρυπτογράφηση αντί του κέρβερου.

Compound authentication

Το Compound authentication είναι ένα πρόσθετο του FAST. Επιτρέπει στον κέρβερο να προσφέρει TGT’s με βάση τα Claims των συσκευών ή ακόμη και τα Groups προσφέροντας περισσότερες επιλογές στην πιστοποίηση.

Αν και η καθημερινότητα και η φανταστική σχεδίαση του κέρβερου μας κάνουν να ξεχνάμε την ύπαρξη του, η Microsoft συνεχίζει τη βελτίωση στην υλοποίηση του, ουσιαστικά  οδηγώντας την πιστοποίηση στο Cloud.