서버가 Kerberos에 액세스해야하는 이유는 무엇입니까?

Question

Active Directory 사용자를 원격 서버에 인증하는 방법을 찾으려고합니다.

목표는 SPNEGO를 사용하여 Kerberos 티켓을받는 것입니다. 그런 다음 Kerberos 티켓을 암호 해독 할 수 있고 사용자의 신원을 확인할 수 있습니다.

내가 이해할 수없는 것은 서버와 Kerberos 간의 액세스가 필요한 이유입니다. 서비스 티켓에는 클라이언트 ID가 포함되어 있고 TGS 개인 키로 암호화되므로 서버는 Kerberos TGS에 액세스 할 필요가 없습니다. 티켓을 해독하고 사용자 신원을 알 수 있습니다. 아무도 나에게 왜 그것이 필요한지 설명 할 수 있습니까?

http://www.adopenstatic.com/cs/blogs/ken/archive/2007/01/16/1054.aspx

ID 제공 또는 내가 원하는 모든 클라이언트의 신원 경우 WIF 나에게 필요하지 않는 것 등의 모든 계획.

Answer 1

이 질문에 대한 답변은 여러개 있습니다 ... 나는 여기에 모두 포함하려고하지 않을 것입니다. (부분적으로 간결한 이유 때문에 부분적으로 세부 사항이 흐릿 해져서 기억이 안 나기 때문입니다. 그들 모두 :)). 나는 마음에 떠오르는 큰 두 가지를 다룰 것이다. 그러나 다시, 더 많이있다.

먼저 DC에 대한 왕복은 DC가 KDC이므로 모두 억제 인 것처럼 말합니다. 나는 그것이 하나의 방법이라고 생각하지만 전반적인 Windows 인증 스택은 Curb 티켓의 유효성을 검증하는 것 이상을 수행합니다. 예를 들어, authz 결정을 내릴 때 들어오는 티켓의 머리 나 꼬리를 만들기 위해 SID 해상도와 같은 것들이 필요합니다. 그래서 의사 소통은 많은 이유와 많은 프로토콜을 사용하여 DC (KDC 이상)로 돌아가며, 그 중 일부는 일반적으로 대부분의 사람들에게 흥미로운 authz 스택을 지원합니다.

두 번째로, Curb의 경우 특히 ... KDC로 돌아가는 보안 기능이있는 프로토콜의 일부 기능이 있습니다. PAC 유효성 검사가 가장 먼저 떠오르는 사항입니다. 나는 이것을 읽으라고 제안 할 것입니다. 여기에 수십억 개의 게시물 중 하나가 있습니다 : http://blogs.msdn.com/b/openspecification/archive/2009/04/24/understanding-microsoft-kerberos-pac-validation.aspx 이 경우, 실제로이 다운 스트림 -> KDC 플로우를 비활성화하기 위해 할 수있는 일이 있습니다 (예 : 주요 TCB). 이러한 것들은 가볍게 수행 할 수 없습니다 ... 즉, 고려해야 할 "perf fix"이상입니다. :)