Condividi tramite


Centro distribuzione chiavi

Il Centro distribuzione chiavi (KDC) viene implementato come servizio di dominio. Usa Active Directory come database account e il Catalogo globale per indirizzare le segnalazioni ai KDC in altri domini.

Come in altre implementazioni del protocollo Kerberos, il KDC è un singolo processo che fornisce due servizi:

  • Servizio di autenticazione (AS)

    Questo servizio genera ticket-granting ticket (TGT) per la connessione al servizio di concessione del ticket nel proprio dominio o in qualsiasi dominio attendibile. Prima che un client possa chiedere un ticket a un altro computer, deve richiedere un TGT dal servizio di autenticazione nel dominio dell'account del client. Il servizio di autenticazione restituisce un TGT per il servizio di concessione del ticket nel dominio del computer di destinazione. Il TGT può essere riutilizzato fino alla scadenza, ma il primo accesso al servizio di concessione ticket di qualsiasi dominio richiede sempre un viaggio al servizio di autenticazione nel dominio dell'account del client.

  • servizio Ticket-Granting (TGS)

    Questo servizio genera ticket per la connessione ai computer nel proprio dominio. Quando i client vogliono accedere a un computer, contattano il servizio di concessione del ticket nel dominio del computer di destinazione, presentano un TGT e chiedono un ticket al computer. Il ticket può essere riutilizzato fino alla scadenza, ma il primo accesso a qualsiasi computer richiede sempre un viaggio al servizio di concessione del ticket nel dominio dell'account del computer di destinazione.

Il KDC per un dominio si trova in un controller di dominio, come è Active Directory per il dominio. Entrambi i servizi vengono avviati automaticamente dall'Autorità di sicurezza locale del controller di dominio (LSA) ed eseguiti come parte del processo di LSA. Nessuno dei due servizi può essere arrestato. Se il KDC non è disponibile per i client di rete, Active Directory non è disponibile e il controller di dominio non controlla più il dominio. Il sistema garantisce la disponibilità di questi e altri servizi di dominio consentendo a ogni dominio di avere diversi controller di dominio, tutti i peer. Qualsiasi controller di dominio può accettare richieste di autenticazione e richieste di concessione del ticket indirizzate al KDC del dominio.

Il nome dell'entità di sicurezza usato dal KDC in qualsiasi dominio è "krbtgt", come specificato da RFC 4120. Un account per questa entità di sicurezza viene creato automaticamente quando viene creato un nuovo dominio. L'account non può essere eliminato né può essere modificato il nome. Un valore di password casuale viene assegnato all'account automaticamente dal sistema durante la creazione del dominio. La password per l'account KDC viene usata per derivare una chiave crittografica per crittografare e decrittografare i TGT che generano problemi. La password per un account di trust di dominio viene usata per derivare una chiave inter-realm per crittografare i ticket di riferimento.

Tutte le istanze del KDC all'interno di un dominio usano l'account di dominio per l'entità di sicurezza "krbtgt". I client indirizzano i messaggi al KDC di un dominio includendo sia il nome dell'entità del servizio, "krbtgt" che il nome del dominio. Entrambi gli elementi delle informazioni vengono usati anche nei ticket per identificare l'autorità di emissione. Per informazioni sui moduli dei nomi e sulle convenzioni di indirizzamento, vedere RFC 4120.