Tiket Ticket-Granting

  • Artikel

Karena protokol Kerberos awalnya dirancang, kunci master untuk pengguna berasal dari kata sandi yang disediakan oleh pengguna. Saat pengguna masuk, klien Kerberos di stasiun kerja pengguna menerima kata sandi dari pengguna dan mengonversinya menjadi kunci enkripsi dengan meneruskan teks melalui fungsi hash satu arah. Hash yang dihasilkan adalah kunci master pengguna. Klien menggunakan kunci master ini untuk mendekripsi kunci sesi yang diterima dari KDC.

Masalah dengan desain Kerberos asli adalah klien membutuhkan kunci master pengguna setiap kali mendekripsi kunci sesi dari KDC. Itu berarti klien harus meminta kata sandi kepada pengguna di awal setiap pertukaran klien/server, atau klien harus menyimpan kunci pengguna di stasiun kerja. Gangguan yang sering terjadi pada pengguna terlalu mengganggu. Menyimpan kunci pada stasiun kerja berisiko mengorbankan kunci yang berasal dari kata sandi pengguna yang merupakan kunci jangka panjang.

Solusi protokol Kerberos untuk masalah ini adalah agar klien mendapatkan kunci sementara dari KDC. Kunci sementara ini hanya baik untuk sesi masuk ini. Saat pengguna masuk, klien meminta tiket untuk KDC sama seperti permintaan tiket untuk layanan lain. KDC merespons dengan membuat kunci sesi masuk dan tiket untuk server khusus, layanan pemberian tiket lengkap KDC. Satu salinan kunci sesi masuk disematkan dalam tiket, dan tiket dienkripsi dengan kunci master KDC. Salinan lain dari kunci sesi masuk dienkripsi dengan kunci master pengguna yang berasal dari kata sandi masuk pengguna. Tiket dan kunci sesi terenkripsi dikirim ke klien.

Ketika klien mendapatkan balasan KDC, klien mendekripsi kunci sesi masuk dengan kunci master pengguna yang berasal dari kata sandi pengguna. Klien tidak lagi memerlukan kunci yang berasal dari kata sandi pengguna karena klien sekarang akan menggunakan kunci sesi masuk untuk mendekripsi salinan kunci sesi server yang didapatkannya dari KDC. Klien menyimpan kunci sesi masuk dalam cache tiketnya bersama dengan tiketnya untuk layanan pemberian tiket lengkap KDC.

Tiket untuk layanan pemberian tiket penuh disebut tiket pemberian tiket (TGT). Ketika klien meminta KDC untuk tiket ke server, klien menyajikan kredensial dalam bentuk pesan pengautentikasi dan tiket — dalam hal ini TGT - sama seperti yang akan menunjukkan kredensial ke layanan lain. Layanan pemberian tiket membuka TGT dengan kunci masternya, mengekstrak kunci sesi masuk untuk klien ini, dan menggunakan kunci sesi masuk untuk mengenkripsi salinan kunci sesi klien untuk server.