Freigeben über

Schlüsselverteilungscenter

  • Artikel

Das Key Distribution Center (KDC) wird als Domänendienst implementiert. Es verwendet Active Directory als Kontodatenbank und den globalen Katalog zum Weiterleiten von Verweisen auf KDCs in anderen Domänen.

Wie bei anderen Implementierungen des Kerberos-Protokollsist der KDC ein einzelner Prozess, der zwei Dienste bereitstellt:

  • Authentifizierungsdienst (AS)

    Dieser Dienst stellt Ticketerteilungstickets (TGTs) für die Verbindung mit dem Ticketerteilungsdienst in seiner eigenen Domäne oder in einer beliebigen vertrauenswürdigen Domäne aus. Bevor ein Client ein Ticket für einen anderen Computer anfordern kann, muss er ein TGT vom Authentifizierungsdienst in der Kontodomäne des Clients anfordern. Der Authentifizierungsdienst gibt einen TGT für den Ticketerteilungsdienst in der Domäne des Zielcomputers zurück. Die TGT kann bis zum Ablauf wiederverwendet werden, aber der erste Zugriff auf den Ticketerteilungsdienst einer Domäne erfordert immer eine Reise zum Authentifizierungsdienst in der Kontodomäne des Clients.

  • Ticket-Granting Service (TGS)

    Dieser Dienst stellt Tickets für die Verbindung mit Computern in einer eigenen Domäne aus. Wenn Clients Zugriff auf einen Computer haben möchten, wenden sie sich an den Ticketerteilungsdienst in der Domäne des Zielcomputers, präsentieren ein TGT und bitten um ein Ticket für den Computer. Das Ticket kann bis zum Ablauf wiederverwendet werden, aber der erste Zugriff auf jeden Computer erfordert immer eine Reise zum Ticketerteilungsdienst in der Kontodomäne des Zielcomputers.

Der KDC für eine Domäne befindet sich auf einem Domänencontroller, wie das Active Directory für die Domäne. Beide Dienste werden automatisch von der lokalen Sicherheitsbehörde des Domänencontrollers (LSA) gestartet und als Teil des LSA-Prozesses ausgeführt. Kein Dienst kann beendet werden. Wenn der KDC für Netzwerkclients nicht verfügbar ist, ist active Directory ebenfalls nicht verfügbar, und der Domänencontroller steuert die Domäne nicht mehr. Das System stellt die Verfügbarkeit dieser und anderer Domänendienste sicher, indem jede Domäne mehrere Domänencontroller, alle Peers, haben kann. Jeder Domänencontroller kann Authentifizierungsanforderungen und Ticketerteilungsanforderungen akzeptieren, die an den KDC der Domäne adressiert sind.

Der Sicherheitsprinzipal Name, der vom KDC in einer beliebigen Domäne verwendet wird, ist "krbtgt", wie durch RFC 4120angegeben. Ein Konto für diesen Sicherheitsprinzipal wird automatisch erstellt, wenn eine neue Domäne erstellt wird. Das Konto kann nicht gelöscht werden, und der Name kann nicht geändert werden. Dem Konto wird während der Erstellung der Domäne automatisch ein zufälliger Kennwortwert zugewiesen. Das Kennwort für das Konto des KDC wird verwendet, um einen kryptografischen Schlüssel zum Verschlüsseln und Entschlüsseln der TGTs abzuleiten, die es ausgibt. Das Kennwort für ein Domänenvertrauenskonto wird verwendet, um einen Interbereichsschlüssel zum Verschlüsseln von Empfehlungstickets abzuleiten.

Alle Instanzen des KDC in einer Domäne verwenden das Domänenkonto für den Sicherheitsprinzipal "krbtgt". Clients adressieren Nachrichten an den KDC einer Domäne, indem sie sowohl den Prinzipalnamen "krbtgt" des Diensts als auch den Namen der Domäne einschließen. Beide Informationselemente werden auch in Tickets verwendet, um die ausstellende Behörde zu identifizieren. Informationen zu Namensformularen und Adressierungskonventionen finden Sie unter RFC 4120.