Megosztás a következőn keresztül:

Kulcselosztó központ

  • Cikk

A kulcsterjesztési központ (KDC) tartományi szolgáltatásként van implementálva. Az Active Directoryt használja fiókadatbázisként és a globális katalógust más tartományokban lévő KDC-kre való átirányításhoz.

A Kerberos protokollmás implementációihoz hasonlóan a KDC egyetlen folyamat, amely két szolgáltatást nyújt:

  • Hitelesítési szolgáltatás (AS)

    Ez a szolgáltatás a saját tartományában vagy bármely megbízható tartományban a jegyátadási szolgáltatáshoz való csatlakozáshoz kiadja a jegyátadási jegyeket (TGT-ket). Mielőtt egy ügyfél jegyet kérhet egy másik számítógépre, TGT-t kell kérnie az ügyfél fióktartományában lévő hitelesítési szolgáltatástól. A hitelesítési szolgáltatás egy TGT-t ad vissza a célszámítógép tartományában lévő jegyátadási szolgáltatáshoz. A TGT a lejáratáig újra felhasználható, de a tartomány jegykiadó szolgáltatásához való első hozzáféréshez mindig meg kell utaznia az ügyfél fióktartományában található hitelesítési szolgáltatáshoz.

  • Ticket-Granting szolgáltatás (TGS)

    Ez a szolgáltatás jegyeket ad ki a saját tartományában lévő számítógépekhez való csatlakozáshoz. Amikor az ügyfelek hozzá szeretnének férni egy számítógéphez, kapcsolatba lépnek a célszámítógép tartományában található jegyszolgáltató szolgáltatással, bemutatják a TGT-t, és jegyet kérnek a számítógépre. A jegy a lejáratáig újra felhasználható, de az első hozzáféréshez minden számítógéphez mindig el kell utaznia a jegykiadó szolgáltatáshoz a célszámítógép fióktartományában.

A tartomány KDC-je egy tartományvezérlőn található, csakúgy, mint a tartomány Active Directoryja. Mindkét szolgáltatást automatikusan elindítja a tartományvezérlő helyi biztonsági hatóság (LSA), és az LSA folyamatának részeként fut. Egyik szolgáltatás sem állítható le. Ha a KDC nem érhető el a hálózati ügyfelek számára, akkor az Active Directory is elérhetetlen – és a tartományvezérlő már nem szabályozza a tartományt. A rendszer biztosítja ezeknek és más tartományi szolgáltatásoknak a rendelkezésre állását azáltal, hogy lehetővé teszi az egyes tartományok számára, hogy több tartományvezérlővel, minden társsal rendelkezzenek. Bármely tartományvezérlő elfogadhatja a tartomány KDC-jének címzett hitelesítési kéréseket és jegyátadási kéréseket.

A KDC által bármely tartományban használt biztonsági egyszerű neve "krbtgt", ahogy azt RFC 4120határozza meg. Új tartomány létrehozásakor a rendszer automatikusan létrehoz egy fiókot ehhez a biztonsági taghoz. A fiók nem törölhető, és a név sem módosítható. A rendszer automatikusan hozzárendel egy véletlenszerű jelszóértéket a fiókhoz a tartomány létrehozása során. A KDC-fiók jelszava egy titkosítási kulcs levezetésére szolgál a problémás TGT-k titkosításához és visszafejtéséhez. A tartománymegbízhatósági fiók jelszava egy tartományközi kulcs lekérésére szolgál az átirányítási jegyek titkosításához.

A tartományon belüli KDC összes példánya használja a tartományfiókot a "krbtgt" biztonsági egyszerű fiókhoz. Az ügyfelek egy tartomány KDC-jének címzik az üzeneteket a szolgáltatás egyszerű nevével, a "krbtgt" névvel és a tartomány nevével. A jegyek mindkét információt a kibocsátó hatóság azonosítására is használják. A névűrlapokról és a címzési konvenciókról további információt RFC 4120.