我目前正在研究kerberos,现在对MS-KILE kerberos扩展中的PAC有疑问。
pac可以包含在授权数据中的pactype结构中,用于客户端解密和解码。
似乎(如果我的理解是正确的),PAC使用目标服务器的加密密钥加密,这只有kdc和目标服务器知道,因此,客户端只需要在请求服务时将其转发给服务器,并且不应解密并提取有关其凭证的详细信息。
有没有办法尝试动态解密? (AS-REP中是否有足够的信息供我提取和解密?
答案 0 :(得分:0)
您的理解是正确的。 PAC由目标服务器的加密密钥加密,只有KDC和目标服务器才知道。因此,客户端无法解密并提取有关其凭据的详细信息。这是为了确保没有人可以修改PAC内的内容。