Centro de Distribuição de Chaves

O KDC (Centro de Distribuição de Chaves) é implementado como um serviço de domínio. Ele usa o Active Directory como seu banco de dados de conta e o Catálogo Global para direcionar indicações para KDCs em outros domínios.

Como em outras implementações do protocolo Kerberos, o KDC é um único processo que fornece dois serviços:

  • Serviço de Autenticação (AS)

    Esse serviço emite TGTs (tíquetes de concessão de tíquetes) para conexão com o serviço de concessão de tíquetes em seu próprio domínio ou em qualquer domínio confiável. Antes que um cliente possa solicitar um tíquete para outro computador, ele deve solicitar um TGT do serviço de autenticação no domínio da conta do cliente. O serviço de autenticação retorna um TGT para o serviço de concessão de tíquetes no domínio do computador de destino. O TGT pode ser reutilizado até expirar, mas o primeiro acesso ao serviço de concessão de tíquetes de qualquer domínio sempre requer uma viagem para o serviço de autenticação no domínio da conta do cliente.

  • TGS (Serviço de Ticket-Granting)

    Esse serviço emite tíquetes para conexão com computadores em seu próprio domínio. Quando os clientes querem acesso a um computador, eles entram em contato com o serviço de concessão de tíquetes no domínio do computador de destino, apresentam um TGT e solicitam um tíquete para o computador. O tíquete pode ser reutilizado até expirar, mas o primeiro acesso a qualquer computador sempre requer uma viagem para o serviço de concessão de tíquetes no domínio da conta do computador de destino.

O KDC para um domínio está localizado em um controlador de domínio, assim como o Active Directory para o domínio. Ambos os serviços são iniciados automaticamente pela LSA ( Autoridade de Segurança Local ) do controlador de domínio e executados como parte do processo da LSA. Nenhum serviço pode ser interrompido. Se o KDC não estiver disponível para clientes de rede, o Active Directory também estará indisponível e o controlador de domínio não está mais controlando o domínio. O sistema garante a disponibilidade desses e de outros serviços de domínio, permitindo que cada domínio tenha vários controladores de domínio, todos os pares. Qualquer controlador de domínio pode aceitar solicitações de autenticação e solicitações de concessão de tíquetes endereçadas ao KDC do domínio.

O nome da entidade de segurança usado pelo KDC em qualquer domínio é "krbtgt", conforme especificado pelo RFC 4120. Uma conta para essa entidade de segurança é criada automaticamente quando um novo domínio é criado. A conta não pode ser excluída, nem o nome pode ser alterado. Um valor de senha aleatória é atribuído à conta automaticamente pelo sistema durante a criação do domínio. A senha da conta do KDC é usada para derivar uma chave criptográfica para criptografar e descriptografar os TGTs que ela emite. A senha de uma conta de relação de confiança de domínio é usada para obter uma chave entre realms para criptografar os tíquetes de referência.

Todas as instâncias do KDC em um domínio usam a conta de domínio para a entidade de segurança "krbtgt". Os clientes endereçam mensagens ao KDC de um domínio, incluindo o nome principal do serviço, "krbtgt" e o nome do domínio. Ambos os itens de informação também são usados em tíquetes para identificar a autoridade emissora. Para obter informações sobre formulários de nome e convenções de endereçamento, consulte RFC 4120.