キー配布センター

キー配布センター (KDC) は、ドメイン サービスとして実装されます。 Active Directory をアカウント データベースとして使用し、他のドメインの KDC に紹介を送信するためのグローバル カタログを使用します。

Kerberos プロトコルの他の実装と同様に、KDC は 2 つのサービスを提供する 1 つのプロセスです。

  • 認証サービス (AS)

    このサービスは、独自のドメインまたは任意の信頼されたドメイン内のチケット付与サービスに接続するために、チケット付与チケット (TGT) を発行します。 クライアントは、別のコンピューターへのチケットを要求する前に、クライアントのアカウント ドメインの認証サービスに TGT を要求する必要があります。 認証サービスは、ターゲット コンピューターのドメイン内のチケット付与サービスの TGT を返します。 TGT は有効期限が切れるまで再利用できますが、ドメインのチケット付与サービスへの最初のアクセスには、常にクライアントのアカウント ドメイン内の認証サービスへのアクセスが必要です。

  • Ticket-Granting サービス (TGS)

    このサービスは、独自のドメイン内のコンピューターへの接続のチケットを発行します。 クライアントは、コンピューターへのアクセスを望む場合、ターゲット コンピューターのドメイン内のチケット付与サービスに連絡し、TGT を提示して、コンピューターへのチケットを要求します。 チケットは有効期限が切れるまで再利用できますが、すべてのコンピューターへの最初のアクセスには、常にターゲット コンピューターのアカウント ドメイン内のチケット付与サービスへのアクセスが必要です。

ドメインの KDC は、ドメインの Active Directory と同様に、ドメイン コントローラー上にあります。 両方のサービスは、ドメイン コントローラーの ローカル セキュリティ機関 (LSA) によって自動的に開始され、LSA のプロセスの一部として実行されます。 どちらのサービスも停止できません。 KDC がネットワーク クライアントで使用できない場合、Active Directory も使用できなくなり、ドメイン コントローラーはドメインを制御しなくなります。 システムは、各ドメインに複数のドメイン コントローラー (すべてのピア) を持たせるようにすることで、これらのドメイン サービスとその他のドメイン サービスの可用性を確保します。 任意のドメイン コントローラーは、ドメインの KDC にアドレス指定された認証要求とチケット付与要求を受け入れます。

任意のドメインで KDC によって使用される セキュリティ プリンシパル 名は、 RFC 4120 で指定されている "krbtgt" です。 このセキュリティ プリンシパルのアカウントは、新しいドメインの作成時に自動的に作成されます。 アカウントを削除することも、名前を変更することもできません。 ランダムなパスワード値は、ドメインの作成時にシステムによってアカウントに自動的に割り当てられます。 KDC のアカウントのパスワードは、発行する TGT を暗号化および復号化するための暗号化キーを派生させるために使用されます。 ドメイン信頼アカウントのパスワードは、紹介チケットを暗号化するための領域間キーを派生させるために使用されます。

ドメイン内の KDC のすべてのインスタンスは、セキュリティ プリンシパル "krbtgt" のドメイン アカウントを使用します。 クライアントは、サービスのプリンシパル名 "krbtgt" とドメインの名前の両方を含めることで、ドメインの KDC にメッセージをアドレス指定します。 情報の両方の項目は、発行元を識別するためにチケットでも使用されます。 名前フォームとアドレス指定規則の詳細については、 RFC 4120 を参照してください。