Поделиться через


Центр распространения ключей

Центр распространения ключей (KDC) реализуется как доменная служба. Он использует Active Directory в качестве базы данных учетной записи и глобальный каталог для направления ссылок на KDC в других доменах.

Как и в других реализациях протокола Kerberos, KDC представляет собой единый процесс, предоставляющий две службы:

  • Служба проверки подлинности (AS)

    Эта служба выдает билеты на предоставление билетов (TGT) для подключения к службе предоставления билетов в собственном домене или в любом доверенном домене. Прежде чем клиент сможет запросить билет на другой компьютер, он должен запросить TGT у службы проверки подлинности в домене учетной записи клиента. Служба проверки подлинности возвращает TGT для службы предоставления билетов в домене целевого компьютера. TGT можно использовать повторно до истечения срока его действия, но для первого доступа к службе предоставления билетов любого домена всегда требуется обращение к службе проверки подлинности в домене учетной записи клиента.

  • Служба Ticket-Granting (TGS)

    Эта служба выдает билеты на подключение к компьютерам в собственном домене. Когда клиенты хотят получить доступ к компьютеру, они связываются со службой предоставления билетов в домене целевого компьютера, представляют TGT и запрашивают билет на компьютер. Билет можно использовать повторно до истечения срока его действия, но для первого доступа к любому компьютеру всегда требуется поездка к службе предоставления билетов в домене учетной записи целевого компьютера.

KDC для домена находится на контроллере домена, как и Active Directory для домена. Обе службы автоматически запускаются локальным центром безопасности (LSA) контроллера домена и запускаются в рамках процесса LSA. Ни служба не может быть остановлена. Если KDC недоступен для сетевых клиентов, active Directory также недоступен, и контроллер домена больше не управляет доменом. Система обеспечивает доступность этих и других доменных служб, позволяя каждому домену иметь несколько контроллеров домена, все одноранговые узлы. Любой контроллер домена может принимать запросы на проверку подлинности и запросы на предоставление билетов, адресованные KDC домена.

Имя субъекта безопасности , используемое KDC в любом домене, — "krbtgt", как указано в RFC 4120. Учетная запись для этого субъекта безопасности создается автоматически при создании нового домена. Учетная запись не может быть удалена, а имя не может быть изменено. Случайное значение пароля присваивается учетной записи автоматически системой во время создания домена. Пароль учетной записи KDC используется для получения криптографического ключа для шифрования и расшифровки TGT, которые он выдает. Пароль для учетной записи доверия домена используется для получения ключа между областями для шифрования запросов рефералов.

Все экземпляры KDC в домене используют учетную запись домена для субъекта безопасности "krbtgt". Клиенты обращаются к сообщениям в KDC домена, включив имя субъекта службы "krbtgt" и имя домена. Оба элемента информации также используются в билетах для идентификации выдающего органа. Сведения о формах имен и соглашениях об адресации см. в статье RFC 4120.