Kerberos:应用服务器如何解密服务票据?
Posted
技术标签:
【中文标题】Kerberos:应用服务器如何解密服务票据?【英文标题】:Kerberos: How does application server decrypt service ticket? 【发布时间】:2017-02-12 12:27:17 【问题描述】:从 Kerberos 架构的角度来看,根据此图,在 TGS_REP 客户端获取使用 TGS 会话密钥加密的服务票证。之后,客户端将服务票证带到应用程序服务器以获取服务。
我看到一些文档说TGS和应用服务器之间没有交互。所以我的问题是Application Server如何在没有TGS会话密钥的情况下解密服务票证来验证服务票证的正确性?
【问题讨论】:
【参考方案1】:服务票证使用 KDC 已知的服务器长期密钥加密。
【讨论】:
Michael,如果你对细节很了解,能否请你也提供一些实现文章? 是不是说客户端能拿到服务票证,前提是Application Server需要先在TGS上注册服务并告诉TGS自己的key。 @cdhit。是的,该服务需要 KDC 已知的服务主体帐户。请查看此图:de.wikipedia.org/wiki/Kerberos_(Informatik)#/media/… 服务器在任何时候都不会与 KDC 对话。以上是关于Kerberos:应用服务器如何解密服务票据?的主要内容,如果未能解决你的问题,请参考以下文章