2016-10-04 5 views
2

С точки зрения архитектуры Kerberos в соответствии с этим графиком во время TGS_REP Клиент получает билет на обслуживание, который зашифровывается с использованием ключа сеанса TGS. После этого Клиент получает билет на обслуживание на Сервер приложений, чтобы получить услугу.Kerberos: Как сервер приложений расшифровывает билет на обслуживание?

Я видел, что в каком-то документе говорится, что между TGS и сервером приложений нет взаимодействия. Поэтому мой вопрос заключается в том, как Application Server расшифровывает билет на услугу без ключа сеанса TGS для проверки правильности билета на обслуживание?

Kerberos architecture

ответ

1

Билет службы шифруется с помощью долговременного ключа сервера, известного KDC.

+0

Майкл, если вы знаете детали очень хорошо, можете ли вы, пожалуйста, посоветовать некоторые статьи по внедрению? – cdhit

+0

Означает ли это, что если клиент может получить билет на обслуживание, его предварительным условием является то, что сервер приложений должен регистрировать службу в TGS и сначала указать свой ключ TGS. – cdhit

+0

@cdhit. Да, услуге требуется основная учетная запись службы, известная KDC. См. Этот рисунок: https://de.wikipedia.org/wiki/Kerberos_(Informatik)#/media/File:Kerberos_german.svg Ни в одном случае сервер не разговаривает с KDC. –