Centro de distribución de claves
El Centro de distribución de claves (KDC) se implementa como un servicio de dominio. Usa Active Directory como base de datos de cuenta y el catálogo global para dirigir las referencias a KDC en otros dominios.
Como en otras implementaciones del protocolo Kerberos, el KDC es un único proceso que proporciona dos servicios:
Servicio de autenticación (AS)
Este servicio emite vales de concesión de vales (TGT) para la conexión al servicio de concesión de vales en su propio dominio o en cualquier dominio de confianza. Para que un cliente pueda solicitar un vale a otro equipo, debe solicitar un TGT desde el servicio de autenticación en el dominio de cuenta del cliente. El servicio de autenticación devuelve un TGT para el servicio de concesión de vales en el dominio del equipo de destino. El TGT se puede reutilizar hasta que expire, pero el primer acceso al servicio de concesión de vales de cualquier dominio siempre requiere un viaje al servicio de autenticación en el dominio de cuenta del cliente.
servicio Ticket-Granting (TGS)
Este servicio emite incidencias para la conexión a equipos de su propio dominio. Cuando los clientes quieren acceder a un equipo, se contactan con el servicio de concesión de vales en el dominio del equipo de destino, presentan un TGT y solicitan un vale al equipo. El vale se puede reutilizar hasta que expire, pero el primer acceso a cualquier equipo siempre requiere un viaje al servicio de concesión de vales en el dominio de cuenta del equipo de destino.
El KDC de un dominio se encuentra en un controlador de dominio, como es Active Directory para el dominio. Ambos servicios se inician automáticamente mediante la autoridad de seguridad local (LSA) del controlador de dominio y se ejecutan como parte del proceso de LSA. No se puede detener ninguno de los servicios. Si el KDC no está disponible para los clientes de red, Active Directory tampoco está disponible y el controlador de dominio ya no controla el dominio. El sistema garantiza la disponibilidad de estos y otros servicios de dominio al permitir que cada dominio tenga varios controladores de dominio, todos los sistemas del mismo nivel. Cualquier controlador de dominio puede aceptar solicitudes de autenticación y solicitudes de concesión de vales dirigidas al KDC del dominio.
El nombre de la entidad de seguridad utilizado por el KDC en cualquier dominio es "krbtgt", según lo especificado por RFC 4120. Una cuenta de esta entidad de seguridad se crea automáticamente cuando se crea un nuevo dominio. No se puede eliminar la cuenta ni se puede cambiar el nombre. El sistema asigna automáticamente un valor de contraseña aleatorio a la cuenta durante la creación del dominio. La contraseña de la cuenta de KDC se usa para derivar una clave criptográfica para cifrar y descifrar los TGT que emite. La contraseña de una cuenta de confianza de dominio se usa para derivar una clave entre dominios para cifrar los vales de referencia.
Todas las instancias del KDC dentro de un dominio usan la cuenta de dominio para la entidad de seguridad "krbtgt". Los clientes direccionen los mensajes al KDC de un dominio mediante la inclusión del nombre principal del servicio, "krbtgt" y el nombre del dominio. Ambos elementos de información también se usan en vales para identificar a la autoridad emisora. Para obtener información sobre los formularios de nombres y las convenciones de direccionamiento, consulte RFC 4120.