Partager via

Centre de distribution de clés

  • Article

Le centre de distribution de clés (KDC) est implémenté en tant que service de domaine. Il utilise Active Directory comme base de données de compte et le catalogue global pour diriger des références vers des KDC dans d’autres domaines.

Comme dans d’autres implémentations du protocole Kerberos , le KDC est un processus unique qui fournit deux services :

  • Service d’authentification (AS)

    Ce service émet des tickets d’octroi de tickets (TGT) pour la connexion au service d’octroi de tickets dans son propre domaine ou dans n’importe quel domaine approuvé. Avant qu’un client puisse demander un ticket à un autre ordinateur, il doit demander un TGT auprès du service d’authentification dans le domaine du compte du client. Le service d’authentification retourne un TGT pour le service d’octroi de tickets dans le domaine de l’ordinateur cible. Le TGT peut être réutilisé jusqu’à son expiration, mais le premier accès au service d’octroi de tickets d’un domaine nécessite toujours un voyage vers le service d’authentification dans le domaine du compte du client.

  • service Ticket-Granting (TGS)

    Ce service émet des tickets pour la connexion aux ordinateurs dans son propre domaine. Lorsque les clients veulent accéder à un ordinateur, ils contactent le service d’octroi de tickets dans le domaine de l’ordinateur cible, présentent un TGT et demandent un ticket à l’ordinateur. Le ticket peut être réutilisé jusqu’à son expiration, mais le premier accès à n’importe quel ordinateur nécessite toujours un voyage vers le service d’octroi de tickets dans le domaine du compte de l’ordinateur cible.

Le KDC d’un domaine se trouve sur un contrôleur de domaine, tel qu’Active Directory pour le domaine. Les deux services sont démarrés automatiquement par l’autorité de sécurité locale du contrôleur de domaine (LSA) et s’exécutent dans le cadre du processus de LSA. Aucun des services ne peut être arrêté. Si le KDC n’est pas disponible pour les clients réseau, Active Directory est également indisponible et le contrôleur de domaine ne contrôle plus le domaine. Le système garantit la disponibilité de ces services et d’autres services de domaine en permettant à chaque domaine d’avoir plusieurs contrôleurs de domaine, tous les homologues. Tout contrôleur de domaine peut accepter les demandes d’authentification et les demandes d’octroi de tickets adressées au KDC du domaine.

Le principal de sécurité nom utilisé par le KDC dans n’importe quel domaine est « krbtgt », comme spécifié par RFC 4120. Un compte pour ce principal de sécurité est créé automatiquement lorsqu’un nouveau domaine est créé. Le compte ne peut pas être supprimé, ni le nom ne peut pas être modifié. Une valeur de mot de passe aléatoire est affectée automatiquement au compte par le système lors de la création du domaine. Le mot de passe du compte du KDC est utilisé pour dériver une clé de chiffrement pour le chiffrement et le déchiffrement des TGT qu’il émet. Le mot de passe d’un compte d’approbation de domaine est utilisé pour dériver une clé inter-domaines pour chiffrer les tickets de référence.

Toutes les instances du KDC au sein d’un domaine utilisent le compte de domaine pour le principal de sécurité « krbtgt ». Les clients adressent les messages au KDC d’un domaine en incluant le nom principal du service, « krbtgt » et le nom du domaine. Les deux éléments d’information sont également utilisés dans les tickets pour identifier l’autorité émettrice. Pour plus d’informations sur les formulaires de noms et les conventions d’adressage, consultez RFC 4120.