0

为什么可以在机器之间(甚至跨网络)传递 Kerberos TGT?这不是在传递一个私钥(这在安全世界中是非常不受欢迎的)?

到目前为止,我读过的唯一保护是它有一定的有效时间。

请回答为什么通过 TGT 是可以的,而通过私钥是不行的。请假设我理解所有内容都将通过 SSL/TLS 传输,并且这些敏感数据在静止时被加密。

4

2 回答 2

0

除非我遗漏了什么,否则客户端不会传递 TGT:TGT 是客户端在通过身份验证服务 (AS) 进行身份验证后收到的内容。

当客户端想要连接到远程服务器/服务时,它会将其 TGT(作为更大请求的一部分)发送给 Ticket-Granting Service (TGS),然后由 TGS 交回远程服务器/服务能够使用的票证用自己的 TGT 解密。

因此,除非您在客户端和 TGS 之间讨论,否则我不相信 TGT 在客户端和服务器之间传递。

这是一些文档:http: //msdn.microsoft.com/en-us/library/windows/desktop/aa378170%28v=vs.85%29.aspx

于 2012-12-05T16:16:04.737 回答
0

传递 TGT 就像通过 SSL/TLS 通道传递 sessionId,而不是通过开放网络传递私钥:)。它是安全的。TGT 内容是加密的,并且只能由有意接收者读取。

于 2012-12-05T08:16:39.840 回答