3.3. The Ticket-Granting Service (TGS) Exchange (チケット付与サービス交換)
3.3. The Ticket-Granting Service (TGS) Exchange (チケット付与サービス交換)
Summary (概要)
| Message direction (メッセージ方向) | Message type (メッセージタイプ) | Section (セクション) |
|---|---|---|
| 1. Client to Kerberos (クライアントから Kerberos へ) | KRB_TGS_REQ | 5.4.1 |
| 2. Kerberos to client (Kerberos からクライアントへ) | KRB_TGS_REP または KRB_ERROR | 5.4.2, 5.9.1 |
クライアントと Kerberos TGS 間の TGS 交換は, 特定のサーバー (リモートレルムに登録されている可能性がある) の認証クレデンシャルを取得しようとする場合, 既存のチケットを更新または検証しようとする場合, またはプロキシチケットを取得しようとする場合に, クライアントによって開始されます。最初のケースでは, クライアントは AS 交換を使用して Ticket-Granting Service のチケットをすでに取得していなければなりません (TGT は通常, クライアントが最初にシステムに認証するときに取得されます。たとえば, ユーザーがログインするときなど)。TGS 交換のメッセージ形式は, AS 交換のものとほぼ同じです。主な違いは, TGS 交換での暗号化と復号化がクライアントの鍵の下で行われないことです。代わりに, TGT または更新可能なチケットからのセッション鍵, または Authenticator からのサブセッション鍵が使用されます。すべてのアプリケーションサーバーの場合と同様に, 期限切れのチケットは TGS によって受け入れられないため, 更新可能なチケットまたは TGT が期限切れになると, クライアントは有効なチケットを取得するために別の交換を使用する必要があります。
TGS 交換は 2 つのメッセージで構成されます: クライアントから Kerberos Ticket-Granting Server への要求 (KRB_TGS_REQ) と, 応答 (KRB_TGS_REP または KRB_ERROR)。KRB_TGS_REQ メッセージには, クライアントを認証する情報とクレデンシャルの要求が含まれています。認証情報は, 認証ヘッダー (KRB_AP_REQ) で構成され, クライアントの以前に取得したチケット付与, 更新可能, または無効なチケットが含まれます。TGT およびプロキシのケースでは, 要求には次のうち 1 つ以上が含まれる場合があります (MAY): ネットワークアドレスのリスト, アプリケーションサーバーによる認可使用のためにチケットにシールされる型付き認可データのコレクション, または追加のチケット (その使用については後で説明します)。TGS 応答 (KRB_TGS_REP) には, 要求されたクレデンシャルが含まれ, TGT または更新可能なチケットからのセッション鍵で, または存在する場合は Authenticator からのサブセッション鍵で暗号化されます (認証ヘッダーの一部)。KRB_ERROR メッセージには, エラーコードと何が問題だったかを説明するテキストが含まれています。KRB_ERROR メッセージは暗号化されていません。KRB_TGS_REP メッセージには, リプレイを検出し, それが応答するメッセージと関連付けるために使用できる情報が含まれています。KRB_ERROR メッセージにも, それが応答するメッセージと関連付けるために使用できる情報が含まれています。セクション 3.1 で言及された KRB_ERROR メッセージの完全性保護に関する同じコメントが TGS 交換に適用されます。