Откуда появился Kerberos TGT? AS или TGS? - PullRequest
Новая
       11

Откуда появился Kerberos TGT? AS или TGS?

0 голосов
/ 28 января 2020

Я изучал Kerberos, и меня смущает, какой компонент отправил билет на получение билета (TGT) с KD C обратно на клиент ?

Некоторые источники, с которыми я сталкиваюсь, говорят, что TGT происходит от Службы выдачи билетов (TGS) , что, на мой взгляд, очень логично звучит, поскольку ощущение, что билет (т. е. TGT) предоставляется службой предоставления тикеров.

Однако некоторые другие источники, подобные этим (https://software.intel.com/sites/manageability/AMT_Implementation_and_Reference_Guide/default.htm?turl=WordDocuments%2Fintroductiontokerberosauthentication.htm)

Сервер авторизации проверяет права доступа пользователя в пользовательской базе данных и создает TGT и сеансовый ключ. Сервер авторизации шифрует результаты, используя ключ, полученный из пароля пользователя, и отправляет сообщение обратно на рабочую станцию ​​пользователя.

означает, что TGT происходит от Служба аутентификации ( AS) .

Итак, мой вопрос: откуда взялся Kerberos TGT ? КАК или TGS ? Я больше ориентируюсь на себя, основываясь на вышеупомянутом источнике, но хотел бы получить больше информации по этой теме c, спасибо.

1 Ответ

1 голос
/ 28 января 2020

TGT - это билет, выданный на услугу krbtgt. Это все это так. Вы можете получить билеты через AS или TGS.

Чтобы получить билет из потока AS , вам нужно иметь то, что Kerberos называет долгосрочными учетными данными, чтобы инициировать или завершить поток. AS-REP содержит значение, зашифрованное для этих долгосрочных учетных данных, поэтому полезно, только если у вас есть пароль (или сертификат, или что-то еще).

Чтобы получить билет из потока TGS вам необходимо выдать билет на krbtgt.

Обычная практика заключается в использовании потока AS для запроса билета на krbtgt с использованием вашего пароля в качестве длинного срок полномочий (или сертификат, или что-то). Ничто не мешает вам запрашивать другую услугу в AS-REQ, просто случается так, что никто этого не делает, потому что это отрицает цель использования TGT вместо кредитов. Существуют специальные службы c, которые специально предназначены для смены пароля, хотя это единственный способ получить билет (например, срок действия пароля истек, вы не можете получить TGT, но можете получить билет changepw) .

Получив TGT, вы можете запросить билеты на любой другой сервис, используя TGS-REQ, включая запрос другого TGT, установив для сервиса krbtgt (он фактически рассматривается как обновление). TGS-REP возвращается клиенту и содержит билет службы, зашифрованный с помощью ключа сеанса krbtgt. Клиент может расшифровать его, потому что у него есть ключ сеанса. После расшифровки клиент преобразует его в AP-REQ и передает его любому приложению, которое запросило билет. Билет в AP-REQ зашифрован паролем услуги.

...