Freigeben über


Schlüsselverteilungscenter

Das Schlüsselverteilungscenter (Key Distribution Center, KDC) wird als Domänendienst implementiert. Es verwendet active Directory als Kontodatenbank und den globalen Katalog, um Verweise auf KDCs in anderen Domänen zu leiten.

Wie bei anderen Implementierungen des Kerberos-Protokolls ist das KDC ein einzelner Prozess, der zwei Dienste bereitstellt:

  • Authentifizierungsdienst (AS)

    Dieser Dienst stellt ticket-granting tickets (TGTs) für die Verbindung mit dem Ticketvergabedienst in seiner eigenen Domäne oder in einer beliebigen vertrauenswürdigen Domäne aus. Bevor ein Client ein Ticket für einen anderen Computer anfordern kann, muss er eine TGT vom Authentifizierungsdienst in der Kontodomäne des Clients anfordern. Der Authentifizierungsdienst gibt einen TGT-Wert für den Ticketgewährungsdienst in der Domäne des Zielcomputers zurück. Der TGT kann bis zum Ablauf wiederverwendet werden, aber der erste Zugriff auf den Ticketgewährungsdienst einer Domäne erfordert immer eine Reise zum Authentifizierungsdienst in der Kontodomäne des Clients.

  • Ticket-Granting Service (TGS)

    Dieser Dienst gibt Tickets für die Verbindung mit Computern in seiner eigenen Domäne aus. Wenn Clients Zugriff auf einen Computer wünschen, wenden sie sich an den Ticketgewährungsdienst in der Domäne des Zielcomputers, legen ein TGT vor und fragen nach einem Ticket für den Computer. Das Ticket kann bis zum Ablauf wiederverwendet werden, aber für den ersten Zugriff auf einen beliebigen Computer ist immer eine Fahrt zum Ticketgewährungsdienst in der Kontodomäne des Zielcomputers erforderlich.

Das KDC für eine Domäne befindet sich auf einem Domänencontroller, ebenso wie das Active Directory für die Domäne. Beide Dienste werden automatisch von der lokalen Sicherheitsautorität (Local Security Authority , LSA) des Domänencontrollers gestartet und im Rahmen des LSA-Prozesses ausgeführt. Keiner der Dienste kann beendet werden. Wenn das KDC für Netzwerkclients nicht verfügbar ist, ist active Directory ebenfalls nicht verfügbar, und der Domänencontroller steuert die Domäne nicht mehr. Das System stellt die Verfügbarkeit dieser und anderer Domänendienste sicher, indem es jeder Domäne ermöglicht, mehrere Domänencontroller und alle Peers zu haben. Jeder Domänencontroller kann Authentifizierungsanforderungen und Ticketgewährungsanforderungen akzeptieren, die an das KDC der Domäne adressiert sind.

Der vom KDC in einer beliebigen Domäne verwendete Sicherheitsprinzipalname lautet "krbtgt", wie in RFC 4120 angegeben. Ein Konto für diesen Sicherheitsprinzipal wird automatisch erstellt, wenn eine neue Domäne erstellt wird. Das Konto kann weder gelöscht noch der Name geändert werden. Während der Erstellung der Domäne wird dem Konto automatisch vom System ein zufälliger Kennwortwert zugewiesen. Das Kennwort für das Konto des KDC wird verwendet, um einen kryptografischen Schlüssel zum Verschlüsseln und Entschlüsseln der auszugebenden TGTs abzuleiten. Mit dem Kennwort für ein Domänenvertrauenskonto wird ein bereichsübergreifender Schlüssel zum Verschlüsseln von Empfehlungstickets abgeleitet.

Alle Instanzen des KDC innerhalb einer Domäne verwenden das Domänenkonto für den Sicherheitsprinzipal "krbtgt". Clients adressieren Nachrichten an das KDC einer Domäne, indem sie sowohl den Prinzipalnamen des Diensts "krbtgt" als auch den Namen der Domäne einschließen. Beide Informationen werden auch in Tickets verwendet, um die ausstellende Behörde zu identifizieren. Informationen zu Namensformen und Adressierungskonventionen finden Sie unter RFC 4120.