7.3. Name of the TGS (TGS の名前)
7.3. Name of the TGS (TGS の名前)
概要
チケット付与サービス (Ticket-Granting Service, TGS) は, Kerberos において特別なプリンシパル名形式を持つ。
TGS プリンシパル名
形式
- サービス:
krbtgt - インスタンス: 対象レルム名
- レルム: サービスレルム
例
ローカル TGS
- プリンシパル:
krbtgt/REALM@REALM - 例:
krbtgt/[email protected] - 同一レルム内でサービスチケットを取得するために用いられる
クロスレルム TGS
- プリンシパル:
krbtgt/TARGET-REALM@SOURCE-REALM - 例:
krbtgt/[email protected] - クロスレルム認証に用いられる
- レルム間で共有されるインターレルム鍵
用法
- チケット要求における TGS の識別
- TGT は TGS プリンシパル向けのチケットである
- クロスレルムの経路では中間 TGS プリンシパルを用いる
- KDC における特別な扱い
セキュリティ上の考慮
- TGS プリンシパルの鍵は極めて機密性が高い
- 侵害はチケットの偽造を許す
- クロスレルム鍵は信頼関係を確立する
- セキュリティのため鍵管理が重要
参照
完全な仕様については, RFC 4120 Section 7.3 を参照すること。