Centre de distribution de clés
Le centre de distribution de clés (KDC) est implémenté en tant que service de domaine. Il utilise Active Directory comme base de données de compte et le catalogue global pour diriger les références vers les KDC dans d’autres domaines.
Comme dans d’autres implémentations du protocole Kerberos, le KDC est un processus unique qui fournit deux services :
Service d’authentification (AS)
Ce service émet des tickets d’octroi de tickets (TGT) pour la connexion au service d’octroi de tickets dans son propre domaine ou dans n’importe quel domaine approuvé. Avant qu’un client puisse demander un ticket pour un autre ordinateur, il doit demander un TGT auprès du service d’authentification dans le domaine du compte du client. Le service d’authentification retourne un TGT pour le service d’octroi de tickets dans le domaine de l’ordinateur cible. Le TGT peut être réutilisé jusqu’à son expiration, mais le premier accès au service d’octroi de tickets d’un domaine nécessite toujours un déplacement vers le service d’authentification dans le domaine du compte du client.
Ticket-Granting Service (TGS)
Ce service émet des tickets pour la connexion aux ordinateurs de son propre domaine. Lorsque les clients souhaitent accéder à un ordinateur, ils contactent le service d’octroi de tickets dans le domaine de l’ordinateur cible, présentent un TGT et demandent un ticket pour l’ordinateur. Le ticket peut être réutilisé jusqu’à son expiration, mais le premier accès à un ordinateur nécessite toujours un déplacement vers le service d’octroi de tickets dans le domaine du compte de l’ordinateur cible.
Le KDC d’un domaine se trouve sur un contrôleur de domaine, tout comme Active Directory pour le domaine. Les deux services sont démarrés automatiquement par l’autorité de sécurité locale (LSA) du contrôleur de domaine et s’exécutent dans le cadre du processus de LSA. Aucun des services ne peut être arrêté. Si le KDC n’est pas disponible pour les clients réseau, Active Directory est également indisponible et le contrôleur de domaine ne contrôle plus le domaine. Le système garantit la disponibilité de ces services de domaine et d’autres services de domaine en permettant à chaque domaine d’avoir plusieurs contrôleurs de domaine, tous les homologues. Tout contrôleur de domaine peut accepter les demandes d’authentification et les demandes d’octroi de tickets adressées au KDC du domaine.
Le nom du principal de sécurité utilisé par le KDC dans n’importe quel domaine est « krbtgt », comme spécifié par RFC 4120. Un compte pour ce principal de sécurité est créé automatiquement lorsqu’un nouveau domaine est créé. Le compte ne peut pas être supprimé, ni le nom ne peut être modifié. Une valeur de mot de passe aléatoire est affectée automatiquement au compte par le système lors de la création du domaine. Le mot de passe du compte du KDC est utilisé pour dériver une clé de chiffrement pour le chiffrement et le déchiffrement des TGT qu’il émet. Le mot de passe d’un compte de confiance de domaine est utilisé pour créer une clé inter-domaines pour le chiffrement des tickets de référence.
Toutes les instances du KDC au sein d’un domaine utilisent le compte de domaine pour le principal de sécurité « krbtgt ». Les clients adressent les messages au KDC d’un domaine en incluant à la fois le nom principal du service, « krbtgt », et le nom du domaine. Les deux éléments d’information sont également utilisés dans les tickets pour identifier l’autorité émettrice. Pour plus d’informations sur les formulaires de nom et les conventions d’adressage, consultez RFC 4120.