С точки зрения архитектуры Kerberos в соответствии с этим графиком во время TGS_REP Клиент получает билет на обслуживание, который зашифровывается с использованием ключа сеанса TGS. После этого Клиент получает билет на обслуживание на Сервер приложений, чтобы получить услугу.Kerberos: Как сервер приложений расшифровывает билет на обслуживание?
Я видел, что в каком-то документе говорится, что между TGS и сервером приложений нет взаимодействия. Поэтому мой вопрос заключается в том, как Application Server расшифровывает билет на услугу без ключа сеанса TGS для проверки правильности билета на обслуживание?
Майкл, если вы знаете детали очень хорошо, можете ли вы, пожалуйста, посоветовать некоторые статьи по внедрению? – cdhit
Означает ли это, что если клиент может получить билет на обслуживание, его предварительным условием является то, что сервер приложений должен регистрировать службу в TGS и сначала указать свой ключ TGS. – cdhit
@cdhit. Да, услуге требуется основная учетная запись службы, известная KDC. См. Этот рисунок: https://de.wikipedia.org/wiki/Kerberos_(Informatik)#/media/File:Kerberos_german.svg Ни в одном случае сервер не разговаривает с KDC. –