3.3 The Ticket-Granting Service (TGS) Exchange (Lo Scambio del Servizio di Concessione Ticket)
3.3. The Ticket-Granting Service (TGS) Exchange (Lo Scambio del Servizio di Concessione Ticket)
Sommario
| Direzione del messaggio | Tipo di messaggio | Sezione |
|---|---|---|
| 1. Client a Kerberos | KRB_TGS_REQ | 5.4.1 |
| 2. Kerberos a client | KRB_TGS_REP o KRB_ERROR | 5.4.2, 5.9.1 |
Lo scambio del servizio di concessione ticket (Ticket-Granting Service, TGS) viene utilizzato per ottenere credenziali per un server utilizzando credenziali per il servizio di concessione ticket. Il client deve aver precedentemente ottenuto un ticket per il servizio di concessione ticket utilizzando lo scambio AS.
Lo scambio TGS è simile allo scambio AS, ma invece di utilizzare la chiave segreta del client per cifrare, la richiesta viene autenticata utilizzando un ticket per il servizio di concessione ticket. Il TGS utilizza la chiave di sessione da questo ticket per cifrare la risposta.
3.3.1. Generation of KRB_TGS_REQ Message (Generazione del Messaggio KRB_TGS_REQ)
Il client costruisce un messaggio KRB_TGS_REQ che include il ticket per il servizio di concessione ticket e un autenticatore cifrato nella chiave di sessione da quel ticket. Il messaggio include anche le caratteristiche desiderate per il nuovo ticket (ad esempio, durata, flag, ecc.).
3.3.2. Receipt of KRB_TGS_REQ Message (Ricezione del Messaggio KRB_TGS_REQ)
Quando il TGS riceve un KRB_TGS_REQ, decifra il ticket di concessione ticket utilizzando la propria chiave. Estrae quindi la chiave di sessione dal ticket e la utilizza per decifrare l'autenticatore. Il TGS verifica che il timestamp nell'autenticatore sia recente e che il ticket di concessione ticket sia valido.
3.3.3. Generation of KRB_TGS_REP Message (Generazione del Messaggio KRB_TGS_REP)
Se la richiesta è valida, il TGS genera un nuovo ticket per il server richiesto. Il TGS cifra la parte cifrata della risposta utilizzando la chiave di sessione dal ticket di concessione ticket. La risposta include il nuovo ticket e la chiave di sessione che sarà condivisa tra il client e il server finale.
Il TGS può applicare varie politiche durante la generazione del ticket, incluse restrizioni sulla durata del ticket, controlli sul campo transited per l'autenticazione inter-realm, e altre verifiche di policy.
3.3.4. Receipt of KRB_TGS_REP Message (Ricezione del Messaggio KRB_TGS_REP)
Quando il client riceve il KRB_TGS_REP, decifra la parte cifrata utilizzando la chiave di sessione dal ticket di concessione ticket. Il client verifica che il nonce nella risposta corrisponda al nonce inviato nella richiesta. Il client memorizza quindi il nuovo ticket e la chiave di sessione per l'uso con il server finale.