【发布时间】:2012-12-06 07:23:05
【问题描述】:
为什么可以在机器之间(甚至跨网络)传递 Kerberos TGT?这不是在传递私钥吗(这在安全世界中是非常不受欢迎的)?
到目前为止,我读到的唯一保护措施是它有一定的有效时间。
请回答为什么通过 TGT 可以,而不能通过私钥。请假设我了解所有内容都将通过 SSL/TLS 传输,并且这些敏感数据在静止时被加密。
【问题讨论】:
标签: security wcf-security kerberos
【发布时间】:2012-12-06 07:23:05
【问题描述】:
传递 TGT 就像通过 SSL/TLS 通道传递 sessionId,而不是通过开放网络传递私钥 :)。它是安全的。 TGT 内容是加密的,并且只能由有意接收者读取。
【讨论】:
除非我遗漏了什么,否则客户端不会传递 TGT:TGT 是客户端在通过身份验证服务 (AS) 进行身份验证后收到的内容。
当客户端想要连接到远程服务器/服务时,它会将其 TGT(作为更大请求的一部分)发送给 Ticket-Granting Service (TGS),然后由该服务返回远程服务器/服务的票证将能够使用他们自己的 TGT 进行解密。
因此,除非您在客户端和 TGS 之间讨论,否则我不相信 TGT 在客户端和服务器之间传递。
这里有一些文档:http://msdn.microsoft.com/en-us/library/windows/desktop/aa378170%28v=vs.85%29.aspx
【讨论】:
-
嘿约翰,我指的是通过推荐又名 Double Hop 的信任。 blogs.technet.com/b/askds/archive/2008/06/13/…
-
@funa68 - 啊,好的。你说的是老派代表团。我们使用约束委派,它利用 S4U 而不是实际传递 TGT。