我正在阅读this description about how Kerberos works.
我对这部分感到有点困惑:
为什么我们以明文发送HTTP服务的Ticket的生命周期?
这意味着任何有权访问网络的人都可以找到我们正在使用的服务以及需要多长时间。这听起来并不是很好的隐私。
答案 0 :(得分:2)
您阅读的说明是错误的。从客户端到KDC TGT服务的初始Kerberos数据包请求中没有明文生命周期 - 只是请求服务票证。包含生命周期的服务票据已加密。人们不会通过电汇以纯文本形式看到详细信息。这些详细信息在RFC 1510和4120中进行了解释。注意:如果您在其中一个端点(客户端,KDC或服务器)上运行 klist ,您将看到明文中的Kerberos票证生命周期 - 但这是不同的 - 您是已经在主机上并使用特定工具来完成。