Udostępnij za pośrednictwem

Centrum dystrybucji kluczy

  • Artykuł

Centrum dystrybucji kluczy (KDC) jest implementowane jako usługa domeny. Używa usługi Active Directory jako bazy danych kont i wykazu globalnego do kierowania odwołań do kontrolerów domeny w innych domenach.

Podobnie jak w innych implementacjach protokołu Kerberos, centrum dystrybucji kluczy jest jednym procesem, który zapewnia dwie usługi:

  • Usługa uwierzytelniania (AS)

    Ta usługa wystawia bilety przyznawania biletów (TGT) na potrzeby połączenia z usługą przyznawania biletów w własnej domenie lub w dowolnej zaufanej domenie. Aby klient mógł poprosić o bilet na inny komputer, musi zażądać biletu TGT z usługi uwierzytelniania w domenie konta klienta. Usługa uwierzytelniania zwraca bilet TGT dla usługi przyznawania biletów w domenie komputera docelowego. Biletu TGT można użyć ponownie, dopóki nie wygaśnie, ale pierwszy dostęp do usługi przyznawania biletów dowolnej domeny zawsze wymaga podróży do usługi uwierzytelniania w domenie konta klienta.

  • usługa Ticket-Granting (TGS)

    Ta usługa wystawia bilety na połączenia z komputerami w własnej domenie. Gdy klienci chcą uzyskać dostęp do komputera, kontaktują się z usługą przyznawania biletów w domenie komputera docelowego, przedstawiają TGT i proszą o bilet na komputer. Bilet można użyć ponownie do momentu jego wygaśnięcia, ale pierwszy dostęp do dowolnego komputera zawsze wymaga podróży do usługi przyznawania biletów w domenie konta komputera docelowego.

Centrum dystrybucji kluczy dla domeny znajduje się na kontrolerze domeny, podobnie jak usługa Active Directory dla domeny. Obie usługi są uruchamiane automatycznie przez lokalnego urzędu zabezpieczeń (LSA) kontrolera domeny i działają w ramach procesu LSA. Żadna z usług nie może zostać zatrzymana. Jeśli centrum dystrybucji kluczy jest niedostępne dla klientów sieciowych, usługa Active Directory jest również niedostępna — a kontroler domeny nie kontroluje już domeny. System zapewnia dostępność tych i innych usług domenowych, umożliwiając każdemu domenie posiadanie kilku kontrolerów domeny, wszystkich elementów równorzędnych. Każdy kontroler domeny może akceptować żądania uwierzytelniania i żądania udzielania biletów adresowane do centrum dystrybucji kluczy domeny.

Jednostka zabezpieczeń nazwa używana przez centrum dystrybucji kluczy w dowolnej domenie to "krbtgt", zgodnie z RFC 4120. Konto dla tego podmiotu zabezpieczeń jest tworzone automatycznie po utworzeniu nowej domeny. Nie można usunąć konta ani zmienić nazwy. Losowa wartość hasła jest przypisywana do konta automatycznie przez system podczas tworzenia domeny. Hasło do konta centrum dystrybucji kluczy jest używane do uzyskiwania klucza kryptograficznego na potrzeby szyfrowania i odszyfrowywania rozwiązywania problemów. Hasło do konta zaufania domeny służy do uzyskiwania klucza między obszarami na potrzeby szyfrowania biletów odwołań.

Wszystkie wystąpienia centrum dystrybucji kluczy w domenie używają konta domeny dla podmiotu zabezpieczeń "krbtgt". Klienci adresować komunikaty do centrum dystrybucji kluczy domeny przez dołączenie zarówno głównej nazwy usługi, "krbtgt" i nazwy domeny. Oba elementy informacji są również używane w biletach do identyfikacji urzędu wystawiającego. Aby uzyskać informacje na temat formularzy nazw i konwencji adresowania, zobacz RFC 4120.