Mostra Sommario / Indice / Ricerca
Ticket di Kerberos

Nei sistemi di protezione Kerberos sono disponibili due tipi di ticket: ticket di concessione ticket e ticket di servizi. Per accedere a un'applicazione di Kerberos, Ŕ necessario prima ottenere un ticket di concessione ticket (TGT).

Ticket di concessione ticket

Quando un utente richiede l'accesso a un servizio che necessita dell'autenticazione Kerberos, il KDC genera un TGT costituito dal nome principale dell'utente, dalla durata del ticket e da una chiave di sessione univoca. Tutti questi elementi vengono crittografati con la chiave master per il KDC. Il KDC restituisce questo TGT al client Reflection Kerberos con una copia della chiave univoca della sessione crittografata con una chiave derivata dalla password dell'utente. Se il client Reflection Kerberos Ŕ in grado di decrittografare la chiave della sessione (e pertanto l'utente conosce la password), pu˛ utilizzare la chiave della sessione e il TGT per ottenere un ticket di servizio.

Dopo la concessione di un TGT valido, il client Reflection Kerberos ottiene i ticket di servizio per il nome principale ogni volta in cui viene richiesto l'accesso a un'applicazione di Kerberos per tutta la durata del ticket di concessione ticket. Per tutto il periodo di validitÓ del TGT, Ŕ possibile eseguire l'accesso alle applicazioni di Kerberos in base alle necessitÓ, senza dovere ottenere altri TGT.

Un ticket rinnovabile Ŕ un TGT particolare con un flag impostato che ne indica la possibilitÓ di rinnovo. Quando la scadenza di un TGT Ŕ imminente, l'utente pu˛ richiederne il rinnovo. Se il TGT Ŕ rinnovabile, il KDC invia al client Reflection Kerberos un nuovo TGT valido per il periodo di tempo specificato nella scheda Kerberos della finestra di dialogo ProprietÓ di protezione. La durata massima e il numero di rinnovi vengono impostati dall'amministratore di sistema del KDC.

Un ticket inoltrabile Ŕ un TGT che pu˛ essere trasmesso a un altro host per ottenere ticket di servizio per servizi aggiuntivi senza dovere ripetere il processo di autenticazione con il KDC. I ticket che sono stati giÓ inoltrati possono essere inoltrati di nuovo.

Ticket di servizio

Per potere accedere a un servizio che richiede l'autenticazione Kerberos, Ŕ necessario che l'applicazione client presenti un ticket di servizio valido. Quando il client Reflection Kerberos invia una richiesta di ticket di servizio insieme a un TGT valido, il KDC rilascia un ticket di servizio costituito dal nome principale dell'utente, una nuova chiave di sessione per la workstation e il servizio da utilizzare per questa sessione. Tutti questi elementi vengono crittografati con la chiave master del servizio. Il KDC restituisce il ticket di servizio al client Reflection Kerberos con il nome del servizio richiesto e una copia della nuova chiave di sessione crittografati con la chiave della sessione TGT originale.

Il client Reflection Kerberos utilizza la chiave della sessione originale per decrittografare il messaggio ed estrarre il ticket di servizio e la chiave che verranno utilizzati per stabilire una sessione con il servizio.

In genere, i ticket di servizio rimangono validi per tutta la durata del TGT. Un nuovo ticket di servizio Ŕ necessario per accedere a un host diverso e, in alcuni casi, quando viene richiesto un servizio diverso sullo stesso host.

Argomenti correlati

Impostazione di valori per ticket di concessione ticket

Rinnovo di un ticket di concessione ticket

Ottenere un ticket di servizio

Eliminazione di ticket per i profili dei nomi principali