金鑰發佈中心
金鑰發佈中心 (KDC) 會實作為網域服務。 它會使用 Active Directory 作為其帳戶資料庫和通用類別目錄,將轉介導向至其他網域中的 KDC。
如同 Kerberos 通訊協定的其他實作,KDC 是提供兩項服務的單一程式:
驗證服務 (AS)
此服務會發出票證授與票證 (TGT) ,以連線到其本身網域或任何信任網域中的票證授與服務。 用戶端必須先從用戶端帳戶網域中的驗證服務要求 TGT,用戶端才能向另一部電腦要求票證。 驗證服務會針對目的電腦網域中的票證授與服務傳回 TGT。 TGT 可以在到期之前重複使用,但第一次存取任何網域的票證授與服務一律需要存取用戶端帳戶網域中的驗證服務。
Ticket-Granting Service (TGS)
此服務會發出票證,以連線到自己的網域中的電腦。 當用戶端想要存取電腦時,他們會連絡目的電腦網域中的票證授與服務、出示 TGT,並要求電腦票證。 票證可以重複使用,直到到期,但第一次存取任何電腦時,一律需要前往目的電腦帳戶網域中票證授與服務的行程。
網域的 KDC 位於網域控制站上,如同網域的 Active Directory 一樣。 網域控制站的 本機安全性授權單位 (LSA) 會自動啟動這兩項服務,並在 LSA 的程式中執行。 兩個服務都無法停止。 如果 KDC 無法供網路用戶端使用,則 Active Directory 也無法使用,而網域控制站不再控制網域。 系統會允許每個網域擁有數個網域控制站,也就是所有對等,以確保這些和其他網域服務的可用性。 任何網域控制站都可以接受驗證要求和票證授與定址至網域 KDC 的要求。
任何網域中 KDC 所使用的 安全性主體 名稱都是 「krbtgt」,如 RFC 4120所指定。 建立新的網域時,會自動建立此安全性主體的帳戶。 無法刪除帳戶,也無法變更名稱。 在建立網域期間,系統會自動將隨機密碼值指派給帳戶。 KDC 帳戶的密碼是用來衍生密碼編譯金鑰,以加密和解密所發出 TGT。 網域信任帳戶的密碼是用來衍生用於加密轉介票證的領域間金鑰。
網域內 KDC 的所有實例都會使用網域帳戶作為安全性主體 「krbtgt」。 用戶端藉由同時包含服務的主體名稱 「krbtgt」 和功能變數名稱,將訊息定址至網域的 KDC。 這兩個專案的資訊也會用於票證中,以識別發行授權單位。 如需名稱表單和定址慣例的相關資訊,請參閱 RFC 4120。