키 배포 센터

KDC(키 배포 센터)는 도메인 서비스로 구현됩니다. Active Directory를 계정 데이터베이스로 사용하고 글로벌 카탈로그를 사용하여 다른 도메인의 KDC에 조회를 전달합니다.

Kerberos 프로토콜의 다른 구현과 마찬가지로 KDC는 두 가지 서비스를 제공하는 단일 프로세스입니다.

• 인증 서비스(AS)

  이 서비스는 자체 도메인 또는 신뢰할 수 있는 도메인에서 티켓 부여 서비스에 연결하기 위해 TGT(티켓 부여 티켓)를 발급합니다. 클라이언트가 다른 컴퓨터로의 티켓을 요청하려면 먼저 클라이언트의 계정 도메인에 있는 인증 서비스에서 TGT를 요청해야 합니다. 인증 서비스는 대상 컴퓨터의 도메인에서 티켓 부여 서비스에 대한 TGT를 반환합니다. TGT는 만료될 때까지 재사용할 수 있지만 도메인의 티켓 부여 서비스에 대한 첫 번째 액세스는 항상 클라이언트의 계정 도메인에 있는 인증 서비스로의 여행이 필요합니다.

• TGS(Ticket-Granting 서비스)

  이 서비스는 자체 도메인의 컴퓨터에 연결하기 위한 티켓을 발급합니다. 클라이언트가 컴퓨터에 액세스하려는 경우 대상 컴퓨터 도메인의 티켓 부여 서비스에 문의하고 TGT를 제시하고 컴퓨터에 대한 티켓을 요청합니다. 티켓이 만료될 때까지 다시 사용할 수 있지만 모든 컴퓨터에 대한 첫 번째 액세스는 항상 대상 컴퓨터의 계정 도메인에서 티켓 부여 서비스로의 여행이 필요합니다.

도메인에 대한 KDC는 도메인에 대한 Active Directory와 마찬가지로 도메인 컨트롤러에 있습니다. 두 서비스는 모두 도메인 컨트롤러의 LSA( 로컬 보안 기관 )에 의해 자동으로 시작되며 LSA 프로세스의 일부로 실행됩니다. 두 서비스 모두 중지할 수 없습니다. 네트워크 클라이언트에서 KDC를 사용할 수 없는 경우 Active Directory도 사용할 수 없으며 도메인 컨트롤러가 더 이상 도메인을 제어하지 않습니다. 시스템은 각 도메인에 여러 도메인 컨트롤러, 모든 피어가 있도록 허용하여 이러한 도메인 및 기타 도메인 서비스의 가용성을 보장합니다. 모든 도메인 컨트롤러는 도메인의 KDC에 주소가 지정된 인증 요청 및 티켓 부여 요청을 수락할 수 있습니다.

모든 도메인에서 KDC에서 사용하는 보안 주체 이름은 RFC 4120에 지정된 대로 "krbtgt"입니다. 이 보안 주체에 대한 계정은 새 도메인을 만들 때 자동으로 만들어집니다. 계정을 삭제할 수 없으며 이름을 변경할 수도 없습니다. 임의 암호 값은 도메인을 만드는 동안 시스템에서 자동으로 계정에 할당됩니다. KDC 계정의 암호는 발급되는 TGT를 암호화하고 암호 해독하기 위한 암호화 키를 파생하는 데 사용됩니다. 도메인 트러스트 계정의 암호는 추천 티켓을 암호화하기 위한 영역 간 키를 파생하는 데 사용됩니다.

도메인 내 KDC의 모든 인스턴스는 보안 주체 "krbtgt"에 대한 도메인 계정을 사용합니다. 클라이언트는 서비스의 주체 이름인 "krbtgt"와 도메인 이름을 모두 포함하여 도메인의 KDC에 메시지를 처리합니다. 두 정보 항목 모두 티켓에 사용하여 발급 기관을 식별합니다. 이름 양식 및 주소 지정 규칙에 대한 자세한 내용은 RFC 4120을 참조하세요.