Sdílet prostřednictvím

Centrum distribuce klíčů

  • Článek

Služba KDC (Key Distribution Center) se implementuje jako doménová služba. Používá active Directory jako databázi účtu a globální katalog pro směrování referenčních seznamů na řadiče domény v jiných doménách.

Stejně jako v jiných implementacích protokolu Kerberosje KDC jedním procesem, který poskytuje dvě služby:

  • Ověřovací služba (AS)

    Tato služba vydává lístky pro udělování lístků (TGT) pro připojení ke službě pro udělování lístků ve vlastní doméně nebo v jakékoli důvěryhodné doméně. Aby klient mohl požádat o lístek na jiný počítač, musí požádat o TGT z ověřovací služby v doméně účtu klienta. Ověřovací služba vrátí TGT pro službu udělování lístků v doméně cílového počítače. TGT je možné opakovaně používat, dokud nevyprší platnost, ale první přístup ke službě pro udělování lístků jakékoli domény vždy vyžaduje cestu do ověřovací služby v doméně účtu klienta.

  • služba Ticket-Granting (TGS)

    Tato služba vydává lístky pro připojení k počítačům ve vlastní doméně. Když klienti chtějí získat přístup k počítači, kontaktují službu udělování lístků v doméně cílového počítače, prezentují TGT a požadují lístek na počítač. Lístek je možné znovu použít, dokud nevyprší jeho platnost, ale první přístup k libovolnému počítači vždy vyžaduje cestu ke službě pro udělování lístků v doméně účtu cílového počítače.

KDC pro doménu se nachází na řadiči domény, stejně jako služba Active Directory pro doménu. Obě služby se spouští automaticky místní autoritou zabezpečení řadiče domény (LSA) a spouští se jako součást procesu LSA. Ani jedna služba se nedá zastavit. Pokud síťovým klientům není KDC k dispozici, služba Active Directory je také nedostupná a řadič domény už doménu nekontroluje. Systém zajišťuje dostupnost těchto a dalších doménových služeb tím, že každé doméně umožní mít několik řadičů domény, všechny partnerské vztahy. Každý řadič domény může přijímat žádosti o ověření a žádosti o udělení lístku adresované KDC domény.

Název objektu zabezpečení používaný službou KDC v libovolné doméně je "krbtgt", jak je určeno RFC 4120. Účet pro tento objekt zabezpečení se vytvoří automaticky při vytvoření nové domény. Účet nelze odstranit ani název změnit. Systém při vytváření domény automaticky přiřadí k účtu náhodnou hodnotu hesla. Heslo pro účet KDC se používá k odvození kryptografického klíče pro šifrování a dešifrování TGT, které vydává. Heslo pro účet důvěryhodnosti domény se používá k odvození klíče mezi sférami pro šifrování lístků referenčních seznamů.

Všechny instance KDC v rámci domény používají účet domény pro objekt zabezpečení "krbtgt". Klienti adresují zprávy do KDC domény zahrnutím hlavního názvu služby, "krbtgt" a názvu domény. Obě informace se také používají v lístkech k identifikaci vydávající autority. Informace o konvencích pro názvy a adresování najdete v tématu RFC 4120.