Compartilhar via

Troca de serviços de concessão de tíquete

  • Artigo

Depois que um TGT (tíquete de concessão de tíquete) e uma chave de sessão tiverem sido estabelecidos para o cliente, o cliente poderá solicitar uma chave de sessão e um tíquete separados para o serviço.

Para solicitar um tíquete para outro serviço

  1. O cliente Kerberos na estação de trabalho do usuário solicita credenciais para o serviço enviando para o KDC ( Centro de Distribuição de Chaves ), uma mensagem do tipo KRB_TGS_REQ (Solicitação de Serviço Ticket-Granting Kerberos). Essa mensagem consiste na identidade do serviço para o qual o cliente está solicitando credenciais, uma mensagem de autenticador criptografada com a nova chave de sessão de logon do usuário e o TGT obtido do Exchange do Serviço de Autenticação.
  2. Quando o KDC recebe um KRB_TGS_REQ, o KDC descriptografa o TGT com sua chave secreta e extrai a chave de sessão de logon do usuário.
  3. O KDC usa a chave de sessão de logon para descriptografar a mensagem do autenticador do usuário e a avalia. Se o autenticador passar no teste, o KDC extrairá os dados de autorização do usuário do TGT e inventará uma chave de sessão para o usuário compartilhar com o servidor solicitado.
  4. O KDC criptografa uma cópia da chave de sessão de serviço com a chave de sessão de logon do usuário.
  5. O KDC inscreve outra cópia da chave de sessão de serviço em um tíquete, juntamente com os dados de autorização do usuário, e criptografa o tíquete com a chave de master do servidor.
  6. O KDC envia essas credenciais de volta ao cliente respondendo com uma mensagem do tipo KRB_TGS_REP (Resposta do Serviço Ticket-Granting Kerberos).
  7. Quando o cliente recebe a resposta, ele descriptografa a chave de sessão de serviço com a chave de sessão de logon do usuário e armazena a chave de sessão de serviço em seu cache de tíquetes.
  8. O cliente extrai o tíquete para o servidor e armazena-o em seu cache de tíquetes.