Delen via

Sleuteldistributiecentrum

  • Artikel

Het KDC (Key Distribution Center) wordt geïmplementeerd als een domeinservice. De Active Directory wordt gebruikt als accountdatabase en de globale catalogus voor het doorsturen van verwijzingen naar KDC's in andere domeinen.

Net als bij andere implementaties van het Kerberos-protocol, is de KDC één proces dat twee services biedt:

  • Authentication Service (AS)

    Deze service geeft ticket-granting tickets (TGT's) uit voor verbinding met de ticket-verlenende service in zijn eigen domein of in een vertrouwd domein. Voordat een client om een ticket naar een andere computer kan vragen, moet deze een TGT aanvragen bij de verificatieservice in het accountdomein van de client. De verificatieservice retourneert een TGT voor de ticketverleningsservice in het domein van de doelcomputer. De TGT kan opnieuw worden gebruikt totdat deze verloopt, maar de eerste toegang tot de ticketverleningsservice van een domein vereist altijd een reis naar de verificatieservice in het accountdomein van de client.

  • Ticket-Granting Service (TGS)

    Deze service geeft tickets uit voor verbinding met computers in een eigen domein. Wanneer clients toegang willen tot een computer, neemt deze contact op met de service voor ticketverlening in het domein van de doelcomputer, presenteert een TGT en vraagt om een ticket naar de computer. Het ticket kan opnieuw worden gebruikt totdat het verloopt, maar de eerste toegang tot elke computer vereist altijd een reis naar de ticket-verlenende service in het accountdomein van de doelcomputer.

De KDC voor een domein bevindt zich op een domeincontroller, net als de Active Directory voor het domein. Beide services worden automatisch gestart door de Local Security Authority (LSA) van de domeincontroller en worden uitgevoerd als onderdeel van het proces van de LSA. Geen van beide services kan worden gestopt. Als de KDC niet beschikbaar is voor netwerkclients, is de Active Directory ook niet beschikbaar en beheert de domeincontroller het domein niet meer. Het systeem zorgt voor beschikbaarheid van deze en andere domeinservices doordat elk domein meerdere domeincontrollers, alle peers, kan hebben. Elke domeincontroller kan verificatieaanvragen accepteren en aanvragen voor tickettoekenning die zijn geadresseerd aan de KDC van het domein.

De beveiligingsprincipaal naam die wordt gebruikt door de KDC in elk domein is 'krbtgt', zoals opgegeven door RFC 4120. Er wordt automatisch een account voor deze beveiligingsprincipaal gemaakt wanneer er een nieuw domein wordt gemaakt. Het account kan niet worden verwijderd en de naam kan ook niet worden gewijzigd. Een willekeurige wachtwoordwaarde wordt automatisch door het systeem toegewezen aan het account tijdens het maken van het domein. Het wachtwoord voor het KDC-account wordt gebruikt om een cryptografische sleutel af te leiden voor het versleutelen en ontsleutelen van de TGT's die hiermee worden veroorzaakt. Het wachtwoord voor een domeinvertrouwensaccount wordt gebruikt om een inter-realmsleutel af te leiden voor het versleutelen van verwijzingstickets.

Alle exemplaren van de KDC binnen een domein gebruiken het domeinaccount voor de beveiligingsprincipaal krbtgt. Clients adresseren berichten naar de KDC van een domein door zowel de principal-naam van de service, 'krbtgt' als de naam van het domein op te geven. Beide informatie-items worden ook gebruikt in tickets om de uitgevende instantie te identificeren. Zie RFC 4120voor informatie over naamformulieren en adresseringsconventies.