Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il Centro distribuzione chiavi (KDC) viene implementato come servizio di dominio. Usa Active Directory come database dell'account e il Catalogo globale per indirizzare le segnalazioni ai KDC in altri domini.
Come in altre implementazioni del protocollo Kerberos , il KDC è un singolo processo che fornisce due servizi:
Servizio di autenticazione (AS)
Questo servizio rilascia ticket di concessione ticket (TGT) per la connessione al servizio di concessione ticket nel proprio dominio o in qualsiasi dominio attendibile. Prima che un client possa richiedere un ticket a un altro computer, deve richiedere un TGT dal servizio di autenticazione nel dominio dell'account del client. Il servizio di autenticazione restituisce un TGT per il servizio di concessione ticket nel dominio del computer di destinazione. Il TGT può essere riutilizzato fino alla scadenza, ma il primo accesso al servizio di concessione ticket di qualsiasi dominio richiede sempre un viaggio al servizio di autenticazione nel dominio dell'account del client.
servizio Ticket-Granting (TGS)
Questo servizio genera ticket per la connessione ai computer nel proprio dominio. Quando i client vogliono accedere a un computer, contattano il servizio di concessione ticket nel dominio del computer di destinazione, presentano un TGT e chiedono un ticket al computer. Il ticket può essere riutilizzato fino alla scadenza, ma il primo accesso a qualsiasi computer richiede sempre un viaggio al servizio di concessione ticket nel dominio dell'account del computer di destinazione.
Il KDC per un dominio si trova in un controller di dominio, come è Active Directory per il dominio. Entrambi i servizi vengono avviati automaticamente dal controller di dominio autorità di sicurezza locale (LSA) ed eseguiti come parte del processo di LSA. Nessuno dei due servizi può essere arrestato. Se il KDC non è disponibile per i client di rete, Anche Active Directory non è disponibile e il controller di dominio non controlla più il dominio. Il sistema garantisce la disponibilità di questi e altri servizi di dominio consentendo a ogni dominio di avere diversi controller di dominio, tutti i peer. Qualsiasi controller di dominio può accettare richieste di autenticazione e richieste di concessione di ticket indirizzate al KDC del dominio.
Il nomedell'entità di sicurezzausato dal KDC in qualsiasi dominio è "krbtgt", come specificato da RFC 4120. Un account per questa entità di sicurezza viene creato automaticamente quando viene creato un nuovo dominio. Non è possibile eliminare l'account né modificare il nome. Un valore casuale della password viene assegnato automaticamente all'account dal sistema durante la creazione del dominio. La password per l'account KDC viene usata per derivare una chiave crittografica per crittografare e decrittografare i TGT che emette. La password per un account trust di dominio viene usata per derivare una chiave tra aree di autenticazione per crittografare i ticket di riferimento.
Tutte le istanze del KDC all'interno di un dominio usano l'account di dominio per l'entità di sicurezza "krbtgt". I client indirizzano i messaggi al KDC di un dominio includendo il nome dell'entità servizio, "krbtgt" e il nome del dominio. Entrambi gli elementi di informazioni vengono usati anche nei ticket per identificare l'autorità emittente. Per informazioni sui moduli dei nomi e sulle convenzioni di indirizzamento, vedere RFC 4120.