【发布时间】:2017-02-12 12:27:17
【问题描述】:
从 Kerberos 架构的角度来看,根据此图,在 TGS_REP 客户端获取使用 TGS 会话密钥加密的服务票证。之后,客户端将服务票证带到应用程序服务器以获取服务。
我看到一些文档说TGS和应用服务器之间没有交互。所以我的问题是Application Server如何在没有TGS会话密钥的情况下解密服务票证来验证服务票证的正确性?
【问题讨论】:
标签: kerberos
【发布时间】:2017-02-12 12:27:17
【问题描述】:
服务票证使用 KDC 已知的服务器长期密钥加密。
【讨论】:
-
Michael,如果你对细节很了解,能否请你也提供一些实现文章?
-
是不是说客户端能拿到服务票证,前提是Application Server需要先在TGS上注册服务并告诉TGS自己的key。
-
@cdhit。是的,该服务需要 KDC 已知的服务主体帐户。请查看此图:de.wikipedia.org/wiki/Kerberos_(Informatik)#/media/… 服务器在任何时候都不会与 KDC 对话。