Проектирование доменов и развертывание Active Directory


Протоколы обмена сообщениями - часть 3


обновляемого билета

или

билета на получение билета

истекло, клиент должен с использованием специального протокола получить работоспособный билет.

Протокол выдачи билетов состоит из двух сообщений: запрос от клиента к серверу Kerberos, выдающему билеты, — KRB_TGS_REQ — и ответ на этот запрос — KRB_TGS_REP или KRB_ERROR. Сообщение KRB_TGS_REQ несет информацию, аутентифицирующую пользователя, а также запрос на идентификационную информацию. Информация аутентификации содержит

заголовок аутентификации

(KRB_AP_REQ), включающий предварительно полученный клиентом билет на получение билета, обновляемый или неработоспособный билет. Если передается билет на получение билета, запрос может включать следующую дополнительную информацию: список сетевых адресов, набор типизированных данных авторизации, которые должны быть помещены в билет для дальнейшего использования в процессе авторизации сервером приложения, или дополнительные билеты. Сообщение KRB_TGS_REP содержит запрошенную информацию идентификации, зашифрованную с помощью ключа сеанса, находящегося в билете на получение билета или в обновляемом билете, или с помощью ключа субсеанса, находящегося в аутентификаторе. Сообщение KRB_ERROR содержит код ошибки и текстовое объяснение причины ее возникновения. Это сообщение не шифруется. В сообщении KRB_TGS_REP находится информация, позволяющая обнаружить факт посылки заранее перехваченной копии данных, а также ассоциировать ответ с вызвавшим его запросом. Информация сообщения KRB_ERROR тоже позволяет ассоциировать его с соответствующим запросом, но отсутствие шифрования не позволяет обнаружить факт подмены таких сообщений.

Протокол KRB_SAFE.

Сообщение KRB_SAFE используется клиентами при необходимости обнаружения несанкционированной модификации сообщений, которыми они обмениваются. Модификация сообщений обнаруживается с помощью подсчета контрольной суммы данных пользователя и дополнительной контрольной информации. Контрольная сумма шифруется с помощью специального ключа, который выбирается в результате переговоров, или с помощью ключа сеанса.

Протокол KRB_PRIV.

При помощи сообщения KRB_PRIV клиенты при необходимости передают чрезвычайно конфиденциальные данные и обнаруживают несанкционированную модификацию сообщений. Это делается с

помощью подсчета контрольной суммы данных пользователя и дополнительной контрольной информации.

Протокол KRB_CRED.

Сообщение KRB_CRED используется клиентами при необходимости отправки информации идентификации Kerberos от одного хоста другому хосту. Этот протокол предполагает отправку билетов вместе с зашифрованными данными, содержащими ключи сеанса и другую информацию, ассоциированную с билетами.

 







Начало  Назад  Вперед