Kerberos TGT更新
我在更新TGT时的理解是新密钥是使用用户密码(或派生)加密的,以便他们可以解密它。但这意味着必须将密码存储在内存中才能使用新的TGT。
我的问题是:
- 我的理解错了吗?是否可以使用旧的TGT密钥加密新的TGT密钥?
- 如果密码存储在内存中(因此不再提示用户)为什么要创建可更新的TGT而不只是获得新的TGT?
1 个答案:
答案 0 :(得分:0)
请允许我纠正您对此的理解。 Kerberos的工作原理是将密钥嵌入到票证中,票证有两种类型,TGT和服务票证(ST)。实际密码不存储在内存中,也不会放入票证中。加密机制使用密码的推导加上一些额外的项目来防止人员处于中间并重放攻击。
- 新的TGT未使用旧的TGT密钥加密。这是因为部分加密利用时间戳,当然总是会改变。因此,旧的TGT一旦到期就会失效,或者用户请求新的TGT。此外,TGT既不是用用户密码加密的,也不是简单的加密。 TGT使用时间戳和KDC的主密钥加密,后者只有KDC知道。用户无法解密TGT。但是通过拥有它,用户证明他是他所说的知识,因为当他第一次请求TGT时,他已经通过发送一个基本上是他的密码,时间戳和一些哈希的验证器证明了他自己的身份。其他项目(如IP地址)。
- 密码永远不会存储在内存中,默认情况下TGT可以更新。仅当已发出TGT的帐户即将过期或已被禁用时,该帐户的用户才能获得新的TGT。重要的是要意识到无缝单点登录体验的一部分意味着TGT默认是可更新的。虽然TGT更新了#34;但它实际上是一个全新的TGT。可更新标志只是意味着为该用户获得新的TGT是可以的。如果您查看此网络跟踪,您将看到它是一张新票证。最后,由于密码的哈希值从不存储在内存中,因此唯一可以理解确认/验证除用户之外的此哈希值的实体是KDC。
作为仅供参考,我还建议您修改帖子并添加“身份验证”。标签,以提供更广泛的受众。
Diagram pictured above taken courtesy of computerworld.com
参考文献:
Kerberos: An Authentication Service for Computer Networks
Kerberos Authentication Protocol
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?