Поделиться через

Предоставление билета службой Exchange

  • Статья

После установки билета на предоставление билетов (TGT) и сеансового ключа для клиента клиент может запросить отдельный ключ сеанса и билет для службы.

Запрос билета на другую службу

  1. Клиент Kerberos на рабочей станции пользователя запрашивает учетные данные для службы, отправляя в центр распространения ключей (KDC) сообщение типа KRB_TGS_REQ (Kerberos Ticket-Granting запрос на обслуживание). Это сообщение состоит из удостоверения службы, для которой клиент запрашивает учетные данные, сообщения проверки подлинности, зашифрованного с помощью нового ключа сеанса входа пользователя, и TGT, полученного из Exchange службы проверки подлинности.
  2. Когда KDC получает KRB_TGS_REQ, KDC расшифровывает TGT с его секретным ключом и извлекает ключ сеанса входа пользователя.
  3. KDC использует ключ сеанса входа для расшифровки сообщения аутентификатора пользователя и оценивает его. Если средство проверки подлинности проходит тест, KDC извлекает данные авторизации пользователя из TGT и изобретает ключ сеанса, чтобы пользователь поделиться с запрошенным сервером.
  4. KDC шифрует одну копию ключа сеанса службы с помощью ключа сеанса входа пользователя.
  5. KDC внедряет в билет другую копию ключа сеанса службы вместе с данными авторизации пользователя и шифрует билет с помощью ключа master сервера.
  6. KDC отправляет эти учетные данные клиенту, отправляя сообщение типа KRB_TGS_REP (Kerberos Ticket-Granting Service Reply).
  7. Когда клиент получает ответ, он расшифровывает ключ сеанса службы с помощью ключа сеанса входа пользователя и сохраняет ключ сеанса службы в своем кэше билетов.
  8. Клиент извлекает билет на сервер и сохраняет его в своем кэше билетов.