Поделиться через

Exchange служб Ticket-Granting

  • Статья

После создания запроса на предоставление билетов (TGT) и ключа сеанса для клиента клиент может запросить отдельный ключ сеанса и билет для службы.

Запрос билета на другую службу

  1. Клиент Kerberos на рабочей станции пользователя запрашивает учетные данные для службы, отправив в центр распространения ключей(KDC), сообщение типа KRB_TGS_REQ (запрос службы Kerberos Ticket-Granting). Это сообщение состоит из удостоверения службы, для которой клиент запрашивает учетные данные, сообщение аутентификатора, зашифрованное с помощью нового ключа входа пользователя ключа сеанса, и TGT, полученного из службы проверки подлинности.
  2. Когда KDC получает KRB_TGS_REQ, KDC расшифровывает TGT с его секретным ключом и извлекает ключ сеанса входа пользователя.
  3. KDC использует ключ сеанса входа, для расшифровки сообщения проверки подлинности пользователя и его оценки. Если средство проверки подлинности передает тест, KDC извлекает данные авторизации пользователя из TGT и изобретает ключ сеанса для пользователя, чтобы предоставить пользователю общий доступ к запрашиваемму серверу.
  4. KDC шифрует одну копию ключа сеанса службы с помощью ключа сеанса входа пользователя.
  5. KDC внедряет другую копию ключа сеанса службы в билет, а также данные авторизации пользователя и шифрует билет с помощью главного ключа сервера.
  6. KDC отправляет эти учетные данные клиенту, отвечая на сообщение типа KRB_TGS_REP (Kerberos Ticket-Granting service Reply).
  7. Когда клиент получает ответ, он расшифровывает ключ сеанса службы с помощью ключа сеанса входа пользователя и сохраняет ключ сеанса службы в кэше билетов.
  8. Клиент извлекает билет на сервер и сохраняет его в кэше билетов.