为什么在机器之间(甚至跨网络)传递Kerberos TGT是可以的?这不是通过一个私钥(这对安全领域非常不满)吗?
到目前为止,我所阅读的唯一保护是它有一定的时间有效。
请回答为什么通过TGT没问题并且没有传递私钥。请假设我理解所有内容都将通过SSL / TLS传输,并且这些敏感数据在静止时会被加密。
答案 0 :(得分:0)
传递TGT就像通过SSL / TLS通道传递sessionId,而不是通过开放网络传递私钥:)。这很安全。 TGT内容已加密,并且只能由用户接收。
答案 1 :(得分:0)
除非我遗漏了某些内容,否则客户端不会通过TGT:TGT是客户端通过身份验证服务(AS)验证后收到的内容。
当客户想要连接到远程服务器/服务时,它会将其TGT(作为更大请求的一部分)发送给票证授予服务(TGS),然后该服务提供远程服务器/服务的票证。将能够使用自己的TGT进行解密。
因此,除非您在客户端和TGS之间谈论,否则我不相信TGT在客户端和服务器之间传递。
以下是一些文档:http://msdn.microsoft.com/en-us/library/windows/desktop/aa378170%28v=vs.85%29.aspx