Поделиться через

Центр распространения ключей

  • Статья

Центр распространения ключей (KDC) реализуется как доменная служба. Он использует Active Directory в качестве базы данных учетной записи и глобального каталога для направления ссылок на ключевые диски в других доменах.

Как и в других реализациях протокола Kerberos, KDC является одним процессом, предоставляющим две службы:

  • Служба проверки подлинности (AS)

    Эта служба выдает запросы на предоставление билетов (TGTs) для подключения к службе предоставления билетов в собственном домене или в любом доверенном домене. Прежде чем клиент сможет запросить билет на другой компьютер, он должен запросить TGT из службы проверки подлинности в домене учетной записи клиента. Служба проверки подлинности возвращает TGT для службы предоставления билетов в домене целевого компьютера. TGT можно повторно использовать до истечения срока действия, но первый доступ к службе предоставления билетов в любой домен всегда требует поездки в службу проверки подлинности в домене учетной записи клиента.

  • служба Ticket-Granting (TGS)

    Эта служба выдает билеты на подключение к компьютерам в собственном домене. Когда клиенты хотят получить доступ к компьютеру, они обращаются к службе предоставления билетов в домене целевого компьютера, представляют TGT и запрашивают билет на компьютер. Билет можно повторно использовать до истечения срока действия, но первый доступ к любому компьютеру всегда требует поездки в службу предоставления билетов в домене учетной записи целевого компьютера.

KDC для домена находится на контроллере домена, как и Active Directory для домена. Обе службы запускаются автоматически локального центра безопасности контроллера домена (LSA) и запускаются как часть процесса LSA. Ни служба не может быть остановлена. Если KDC недоступен для сетевых клиентов, Active Directory также недоступен, а контроллер домена больше не управляет доменом. Система обеспечивает доступность этих и других доменных служб, позволяя каждому домену иметь несколько контроллеров домена, всех одноранговых узлов. Любой контроллер домена может принимать запросы проверки подлинности и запросы на предоставление билетов, адресованные KDC домена.

Имя субъекта безопасности , используемое KDC в любом домене, равно krbtgt, как указано в RFC 4120. Учетная запись для этого субъекта безопасности создается автоматически при создании нового домена. Учетная запись не может быть удалена и не может быть изменена. Случайное значение пароля назначается учетной записи автоматически системой во время создания домена. Пароль для учетной записи KDC используется для получения криптографического ключа для шифрования и расшифровки TGTs, которые он выдает. Пароль для учетной записи доверия домена используется для получения ключа между областью для шифрования запросов на рефералы.

Все экземпляры KDC в домене используют учетную запись домена для субъекта безопасности krbtgt. Клиенты обращаются к сообщениям к KDC домена, включая имя субъекта-службы, krbtgt и имя домена. Оба элемента информации также используются в билетах для идентификации выдающего органа. Сведения о формах имен и соглашениях об адресации см. в RFC 4120.