Zum Hauptinhalt springen

3.3. The Ticket-Granting Service (TGS) Exchange (Der Ticket-Granting-Service-Austausch)

3.3. The Ticket-Granting Service (TGS) Exchange (Der Ticket-Granting-Service-Austausch)

Overview (Überblick)

Der TGS-Austausch (Ticket-Granting Service Exchange) wird von Clients genutzt, um Dienst-Tickets für Anwendungsserver zu erhalten. Der Client verwendet sein Ticket-Granting Ticket (TGT), um sich gegenüber dem TGS zu authentifizieren und ein Dienst-Ticket anzufordern.

Message Flow (Nachrichtenfluss)

  1. KRB_TGS_REQ: Der Client sendet eine Ticket-Anfrage an den TGS
    • Enthält das TGT
    • Enthält den Authenticator
    • Gibt den gewünschten Dienst an
  2. KRB_TGS_REP: Der TGS antwortet mit dem Dienst-Ticket
  3. KRB_ERROR: Wird zurückgegeben, wenn die Anfrage nicht erfüllt werden kann

Generation of KRB_TGS_REQ Message (Erzeugung der KRB_TGS_REQ-Nachricht)

Der Client erstellt eine Anfrage mit folgendem Inhalt:

  • TGT (aus dem vorherigen AS-Austausch)
  • Authenticator (verschlüsselt mit dem Session Key des TGT)
  • Dienst-Principal-Name
  • Angeforderte Ticket-Optionen und -Flags
  • Angeforderte Gültigkeitsdauer

Receipt of KRB_TGS_REQ Message (Empfang der KRB_TGS_REQ-Nachricht)

Der TGS prüft die Anfrage:

  1. Entschlüsselung und Validierung des TGT
  2. Entschlüsselung und Validierung des Authenticators
  3. Prüfung der Autorisierung
  4. Prüfung von Richtlinienbeschränkungen
  5. Verarbeitung spezieller Optionen (RENEW, VALIDATE, PROXY, FORWARDED usw.)

Generation of KRB_TGS_REP Message (Erzeugung der KRB_TGS_REP-Nachricht)

Ist die Anfrage gültig, stellt der TGS das Dienst-Ticket aus:

  • Ticket wird mit dem Langzeitschlüssel des Dienstes verschlüsselt
  • Antwort (mit Session Key) wird mit dem Session Key des TGT verschlüsselt
  • Passende Ticket-Flags werden gesetzt
  • Gültigkeitszeitraum des Tickets wird festgelegt

Receipt of KRB_TGS_REP Message (Empfang der KRB_TGS_REP-Nachricht)

Der Client:

  1. Entschlüsselt die Antwort mit dem Session Key des TGT
  2. Extrahiert das neue Dienst-Ticket und den Session Key
  3. Kann sich nun beim angeforderten Dienst authentifizieren

Special Processing (Sonderverarbeitung)

Der TGS behandelt verschiedene Sonderfälle:

  • Ticket-Erneuerung
  • Ticket-Validierung (für vordatierte Tickets)
  • Proxy- und Forwarded-Ticket-Anfragen
  • Cross-Realm-Verweise
  • User-to-User-Authentifizierung

Reference (Referenz)

Vollständige technische Details finden sich in RFC 4120 Abschnitt 3.3.

Letztes Update am