я подальших запитів про квитки, званий Ticket - Granting Ticket (квиток на надання квитків, TGT ), і потім - квиток сеансу для запитуваної сервера. TGT усуває потребу в подальшому проведеному Active Directory пошуку клієнта, здійснюючи попередню аутентифікацію подальших запитів про квитки точно таким же способом, яким Kerberos здійснює аутентифікацію всіх інших запитів. Як і будь-який квиток сеансу, квиток TGT дійсний до закінчення терміну дії, який залежить від політики безпеки домена.
Kerberos технічно ділиться на дві служби: службу TGT (єдину службу, яка дійсно здійснює аутентифікацію в Active Directory ) і службу надання квитків, видає квитки сеансів по отриманні допустимого TGT .
В В В В
6.1.2. Довірчі відносини між доменами
В
Kerberos працює через кордони домену (Домени в термінології Kerberos називаються сферами ( realm ), ці терміни еквівалентні).
Ім'я домену, до якому належить принципал безпеки, є частиною імені принципала безпеки. Членство в одному дереві Active Directory автоматично створить міждоменні ключі Kerberos між батьківським доменомі його дочірніми доменами.
Обмін междоменной ключами реєструє контролери домену одного домену в якості принципалів безпеки у довіреному домені. Ця проста концепція дає можливість будь-якому принципалу безпеки в домені отримати квиток сеансу в чужому КОС.
1. Коли принципал безпеки в одному домені хоче звернутися до принципала безпеки в сусідньому домені (один з доменів батьківський, інший дочірній), він відправляє запит про квиток сеансу своєму локальному КОС.
2. КОС визначає, що сервер призначення не знаходиться в локальному домені, і відповідає клієнту, відправляючи йому квиток напряму ( referral ticket ), який є квитком сеансу, зашифрований при допомоги междоменной ключа.
3. Клієнт використовує квиток напрямки для запиту квитка сеансу безпосередньо у чужого KDC .
4. Чужий KDC розшифровує квиток напрямки, тому що володіє междоменной ключем, що підтверджує, що довірений контролер домену довіряє клієнтові (інакше він не надав би ключ напрямку).
5. Чужий KDC надає квиток сеансу, допустимий для чужого сервера призначення.
Для більш віддалених доменів цей процес просто повторюється. Для доступу до пр...
