Kerberos：应用服务器如何解密服务票据？

Posted 2023-02-19

【中文标题】Kerberos：应用服务器如何解密服务票据？

【英文标题】：Kerberos: How does application server decrypt service ticket?

【发布时间】：2017-02-12 12:27:17

【问题描述】：

从 Kerberos 架构的角度来看，根据此图，在 TGS_REP 客户端获取使用 TGS 会话密钥加密的服务票证。之后，客户端将服务票证带到应用程序服务器以获取服务。

我看到一些文档说TGS和应用服务器之间没有交互。所以我的问题是Application Server如何在没有TGS会话密钥的情况下解密服务票证来验证服务票证的正确性？

【参考方案1】：

服务票证使用 KDC 已知的服务器长期密钥加密。

【讨论】：

Michael，如果你对细节很了解，能否请你也提供一些实现文章？

是不是说客户端能拿到服务票证，前提是Application Server需要先在TGS上注册服务并告诉TGS自己的key。

@cdhit。是的，该服务需要 KDC 已知的服务主体帐户。请查看此图：de.wikipedia.org/wiki/Kerberos_(Informatik)#/media/… 服务器在任何时候都不会与 KDC 对话。