Pusat Distribusi Utama

Pusat Distribusi Utama (KDC) diimplementasikan sebagai layanan domain. Ini menggunakan Direktori Aktif sebagai database akunnya dan Katalog Global untuk mengarahkan rujukan ke KDC di domain lain.

Seperti dalam implementasi lain dari protokol Kerberos, KDC adalah satu proses yang menyediakan dua layanan:

  • Layanan Autentikasi (AS)

    Layanan ini mengeluarkan tiket pemberian tiket (TGT) untuk koneksi ke layanan pemberian tiket di domainnya sendiri atau di domain tepercaya apa pun. Sebelum klien dapat meminta tiket ke komputer lain, klien harus meminta TGT dari layanan autentikasi di domain akun klien. Layanan autentikasi mengembalikan TGT untuk layanan pemberian tiket di domain komputer target. TGT dapat digunakan kembali sampai kedaluwarsa, tetapi akses pertama ke layanan pemberian tiket domain apa pun selalu memerlukan perjalanan ke layanan autentikasi di domain akun klien.

  • Ticket-Granting Service (TGS)

    Layanan ini mengeluarkan tiket untuk koneksi ke komputer di domainnya sendiri. Ketika klien menginginkan akses ke komputer, mereka menghubungi layanan pemberian tiket di domain komputer target, menunjukkan TGT, dan meminta tiket ke komputer. Tiket dapat digunakan kembali sampai kedaluwarsa, tetapi akses pertama ke komputer mana pun selalu memerlukan perjalanan ke layanan pemberian tiket di domain akun komputer target.

KDC untuk domain terletak di pengendali domain, seperti halnya Direktori Aktif untuk domain tersebut. Kedua layanan dimulai secara otomatis oleh Otoritas Keamanan Lokal (LSA) pengendali domain dan dijalankan sebagai bagian dari proses LSA. Tidak ada layanan yang dapat dihentikan. Jika KDC tidak tersedia untuk klien jaringan, direktori aktif juga tidak tersedia—dan pengendali domain tidak lagi mengontrol domain. Sistem memastikan ketersediaan ini dan layanan domain lainnya dengan memungkinkan setiap domain memiliki beberapa pengontrol domain, semua rekan. Setiap pengendali domain dapat menerima permintaan autentikasi dan permintaan pemberian tiket yang ditujukan ke KDC domain.

Nama prinsipal keamanan yang digunakan oleh KDC di domain apa pun adalah "krbtgt", seperti yang ditentukan oleh RFC 4120. Akun untuk prinsip keamanan ini dibuat secara otomatis saat domain baru dibuat. Akun tidak dapat dihapus, juga tidak dapat diubah namanya. Nilai kata sandi acak ditetapkan ke akun secara otomatis oleh sistem selama pembuatan domain. Kata sandi untuk akun KDC digunakan untuk mendapatkan kunci kriptografi untuk mengenkripsi dan mendekripsi TGT yang dikeluarkannya. Kata sandi untuk akun kepercayaan domain digunakan untuk memperoleh kunci antar realm untuk mengenkripsi tiket rujukan.

Semua instans KDC dalam domain menggunakan akun domain untuk prinsip keamanan "krbtgt". Klien menangani pesan ke KDC domain dengan menyertakan nama utama layanan, "krbtgt", dan nama domain. Kedua item informasi juga digunakan dalam tiket untuk mengidentifikasi otoritas penerbit. Untuk informasi tentang formulir nama dan konvensi alamat, lihat RFC 4120.