0
爲什麼在機器之間(甚至跨網絡)通過Kerberos TGT?這難道不是在傳遞一個私鑰嗎?(這對安全領域是非常不滿的)?傳遞Kerberos(TGT)票證授予票證。雙跳實施是否安全?
到目前爲止,我所讀到的唯一保護措施是,它有一定的時間長度以保證有效。
請回答爲什麼通過一個TGT是可以的,並且傳遞一個私鑰不是。請假設我明白所有內容都將通過SSL/TLS傳輸,並且這些敏感數據在休息時都會被加密。
A
回答
0
傳遞TGT就像在SSL/TLS通道上傳遞sessionId,而不是通過開放網絡傳遞私鑰:)。這是安全的。 TGT內容已加密,只能由收件人收件人閱讀。
0
除非我遺漏了一些東西,否則客戶端不會傳遞TGT:TGT是客戶端通過身份驗證服務(AS)驗證後接收的內容。
當客戶想要連接到遠程服務器/服務時,它將TGT作爲更大請求的一部分發送給票務授權服務(TGS),票據授予服務(TGS)然後將票據交還給遠程服務器/服務將能夠用自己的TGT解密。所以除非你在談論客戶端和TGS之間,我不相信TGT在客戶端和服務器之間傳遞。
下面是一些文檔:http://msdn.microsoft.com/en-us/library/windows/desktop/aa378170%28v=vs.85%29.aspx
相關問題
- 1. PHP Kerberos:檢查有效票證/訪問票證
- 2. 瀏覽器發送NTLM票證而不是Kerberos票據
- 3. 實施匿名身份驗證和雙重投票預防
- 4. Kerberos中的服務票據 - Hadoop安全
- 5. Django CAS和TGT(Ticket Granting Tickets)和服務票證驗證
- 6. 使用.NET生成kerberos票證
- 7. 如何使用Delphi獲得Kerberos票證?
- 8. 如何解密perl中的Kerberos票證
- 9. 如何在Windows中更新Kerberos票證?
- 10. jaaslounge spnego/kerberos票證解密aes-256
- 11. 如何知道Kerberos票證是否已過期
- 12. uCommerce與Loggin的安全票證交易
- 13. 某人是否有CAS代理授予票證的有效示例?
- 14. windows XP和unix中kerberos門票TGT和服務門票的路徑?
- 15. OAuth2用戶證書授予安全
- 16. Restful CAS客戶端和代理授予票證
- 17. Kerberos緩存票
- 18. 如何根據Java中的服務器驗證Kerberos票證?
- 19. Kerberos協議中的第7條消息和票證驗證
- 20. 使用c#keytab文件手動驗證kerberos票證#
- 21. 表單身份驗證票證足夠安全嗎?
- 22. ASP.NET SSL身份驗證票證安全性?
- 23. Kerberos服務票據是否也可以由KDC(在Active Directory中)根據用戶授權授予?
- 24. 像Stack Overflow這樣的安全AJAX投票系統? (SharePoint實施)
- 25. 驗證票(表單認證)
- 26. Apache檢票驗證
- 27. 如何使用.NET獲取AD Kerberos票證生存期?
- 28. 如何從kerberos票證中檢索組成員資格?
- 29. kerberos在獲取初始票證時出錯 - kpasswd
- 30. 如何通過GSS-API獲取Kerberos服務票證?
嘿,約翰,我被推薦又名雙跳指的是信任。 http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx – funa68
@ funa68 - 啊,好的。你在談論老派代表團。我們使用利用S4U的約束委託來代替實際通過TGT。 –