다음을 통해 공유

Ticket-Granting Service 교환

  • 아티클

클라이언트에 대해 TGT(티켓 부여 티켓) 및 세션 키가 설정된 후 클라이언트는 서비스에 대한 별도의 세션 키와 티켓을 요청할 수 있습니다.

다른 서비스에 대한 티켓을 요청하려면

  1. 사용자의 워크스테이션에 있는 Kerberos 클라이언트는 KRB_TGS_REQ(Kerberos Ticket-Granting 서비스 요청) 형식의 메시지인 KDC(키 배포 센터)로 전송하여 서비스에 대한 자격 증명을 요청합니다. 이 메시지는 클라이언트가 자격 증명을 요청하는 서비스의 ID, 사용자의 새 로그온 세션 키로 암호화된 인증자 메시지 및 인증 서비스 Exchange에서 가져온 TGT로 구성됩니다.
  2. KDC가 KRB_TGS_REQ 받으면 KDC는 비밀 키로 TGT의 암호를 해독하고 사용자의 로그온 세션 키를 추출합니다.
  3. KDC는 로그온 세션 키를 사용하여 사용자의 인증자 메시지를 해독하고 평가합니다. 인증자가 테스트를 통과하면 KDC는 TGT에서 사용자의 권한 부여 데이터를 추출하고 사용자가 요청된 서버와 공유할 세션 키를 만듭니다.
  4. KDC는 사용자의 로그온 세션 키를 사용하여 서비스 세션 키의 복사본 하나를 암호화합니다.
  5. KDC는 사용자의 권한 부여 데이터와 함께 티켓에 서비스 세션 키의 또 다른 복사본을 포함하고 서버의 master 키로 티켓을 암호화합니다.
  6. KDC는 형식 KRB_TGS_REP(Kerberos Ticket-Granting 서비스 회신)의 메시지와 함께 회신하여 이러한 자격 증명을 클라이언트로 다시 보냅니다.
  7. 클라이언트가 회신을 받으면 사용자의 로그온 세션 키로 서비스 세션 키의 암호를 해독하고 서비스 세션 키를 티켓 캐시에 저장합니다.
  8. 클라이언트는 서버에 티켓을 추출하고 해당 티켓 캐시에 저장합니다.