チケット保証サービスの交換

  • [アーティクル]

クライアントに対してチケット付与チケット (TGT) と セッション キー が確立された後、クライアントはサービスの別のセッション キーとチケットを要求できます。

別のサービスのチケットを要求するには

  1. ユーザーのワークステーション上の Kerberos クライアントは、キー配布センター (KDC) に KRB_TGS_REQ 型のメッセージ (Kerberos Ticket-Granting サービス要求) を送信することで、サービスの資格情報を要求します。 このメッセージは、クライアントが資格情報を要求しているサービスの ID、ユーザーの新しいログオン セッション キーで暗号化された認証メッセージ、および 認証サービス Exchange から取得された TGT で構成されます。
  2. KDC がKRB_TGS_REQを受信すると、KDC は TGT をその秘密鍵で復号化し、ユーザーのログオン セッション キーを抽出します。
  3. KDC はログオン セッション キー を使用してユーザーの認証メッセージを復号化し、それを評価します。 認証子がテストに合格した場合、KDC は TGT からユーザーの承認データを抽出し、ユーザーが要求されたサーバーと共有するためのセッション キーを作成します。
  4. KDC は、サービス セッション キーの 1 つのコピーをユーザーのログオン セッション キーで暗号化します。
  5. KDC は、サービス セッション キーの別のコピーをユーザーの承認データと共にチケットに埋め込み、そのチケットをサーバーの マスター キーで暗号化します。
  6. KDC は、KRB_TGS_REP型のメッセージ (Kerberos Ticket-Granting サービス応答) で応答することで、これらの資格情報をクライアントに送信します。
  7. クライアントは、応答を受信すると、ユーザーのログオン セッション キーを使用してサービス セッション キーの暗号化を解除し、サービス セッション キーをチケット キャッシュに格納します。
  8. クライアントはチケットをサーバーに抽出し、チケット キャッシュに格納します。