Aracılığıyla paylaş

Anahtar Dağıtım Merkezi

  • Makale

Anahtar Dağıtım Merkezi (KDC) bir etki alanı hizmeti olarak uygulanır. Active Directory'yi hesap veritabanı olarak, başvuruları diğer etki alanlarındaki KDC'lere yönlendirmek için genel katalog olarak kullanır.

Kerberos protokolünündiğer uygulamalarında olduğu gibi, KDC de iki hizmet sağlayan tek bir işlemdir:

  • Kimlik Doğrulama Hizmeti (AS)

    Bu hizmet, bilet verme hizmetine kendi etki alanındaki veya güvenilen herhangi bir etki alanındaki bağlantı için bilet verme biletleri (TGT) verir. İstemcinin başka bir bilgisayara bilet isteyebilmesi için önce istemcinin hesap etki alanındaki kimlik doğrulama hizmetinden bir TGT istemesi gerekir. Kimlik doğrulama hizmeti, hedef bilgisayarın etki alanındaki bilet verme hizmeti için bir TGT döndürür. TGT süresi dolana kadar yeniden kullanılabilir, ancak herhangi bir etki alanının bilet verme hizmetine ilk erişim her zaman istemcinin hesap etki alanındaki kimlik doğrulama hizmetine bir gezi gerektirir.

  • Ticket-Granting Hizmeti (TGS)

    Bu hizmet, kendi etki alanındaki bilgisayarlara bağlantı için biletler verir. İstemciler bir bilgisayara erişim istediklerinde, hedef bilgisayarın etki alanındaki bilet verme hizmetiyle iletişim kurar, bir TGT sunar ve bilgisayara bir bilet ister. Bilet süresi dolana kadar yeniden kullanılabilir, ancak herhangi bir bilgisayara ilk erişim için her zaman hedef bilgisayarın hesap etki alanındaki bilet verme hizmetine bir gezi gerekir.

Bir etki alanının KDC'si, etki alanının Active Directory'sinde olduğu gibi bir etki alanı denetleyicisinde bulunur. Her iki hizmet de etki alanı denetleyicisinin Yerel Güvenlik Yetkilisi (LSA) tarafından otomatik olarak başlatılır ve LSA işleminin bir parçası olarak çalıştırılır. Hiçbir hizmet durdurulamıyor. KDC ağ istemcileri tarafından kullanılamıyorsa, Active Directory de kullanılamaz ve etki alanı denetleyicisi artık etki alanını denetlemez. Sistem, her etki alanının birden çok etki alanı denetleyicisine ve tüm eşlere sahip olmasını sağlayarak bu ve diğer etki alanı hizmetlerinin kullanılabilirliğini sağlar. Herhangi bir etki alanı denetleyicisi, etki alanının KDC'sine yönelik kimlik doğrulama isteklerini ve bilet verme isteklerini kabul edebilir.

Herhangi bir etki alanında KDC tarafından kullanılan güvenlik sorumlusu adı, RFC 4120tarafından belirtildiği gibi "krbtgt" şeklindedir. Yeni bir etki alanı oluşturulduğunda bu güvenlik sorumlusu için bir hesap otomatik olarak oluşturulur. Hesap silinemez veya ad değiştirilemez. Etki alanı oluşturulurken sistem tarafından hesaba otomatik olarak rastgele bir parola değeri atanır. KDC'nin hesabının parolası, karşılaştığı TGT'leri şifrelemek ve şifresini çözmek için bir şifreleme anahtarı türetmek için kullanılır. Etki alanı güven hesabının parolası, referans biletlerini şifrelemek için bir bölgeler arası anahtar türetmek için kullanılır.

Bir etki alanı içindeki KDC'nin tüm örnekleri, "krbtgt" güvenlik sorumlusu için etki alanı hesabını kullanır. İstemciler, hizmetin asıl adı olan "krbtgt" ve etki alanının adını ekleyerek iletileri bir etki alanının KDC'sine yönlendirir. Her iki bilgi öğesi de veren yetkiliyi tanımlamak için biletlerde kullanılır. Ad formları ve adresleme kuralları hakkında bilgi için bkz. rfc 4120 .