초기 인증: TGT(티켓 부여 티켓)
Kerberos 인증은 모든 후속 인증을 가능하게 하는 초기 인증과 후속 인증 자체의 두 단계로 구성됩니다.
다음 그림은 초기 인증이 이루어지는 방식을 보여줍니다.
그림 2-1 Kerberos 세션에 대한 초기 인증
-
클라이언트(사용자 또는 NFS 등의 서비스)는 KDC(키 배포 센터)에서 TGT(티켓 부여 티켓)를 요청하여 Kerberos 세션을 시작합니다. 이 요청은 대개 로그인 시 자동으로 수행됩니다.
TGT(티켓 부여 티켓)는 특정 서비스의 다른 티켓을 얻는 데 필요합니다. TGT(티켓 부여 티켓)는 여권과 비슷하다고 생각하십시오. TGT(티켓 부여 티켓)는 여권처럼 사용자의 신원을 확인하며 여러 개의 "비자"(티켓)를 얻을 수 있도록 해줍니다. 티켓은 외국이 아니라 원격 시스템 또는 네트워크 서비스에 액세스할 수 있도록 해줍니다. 여권과 비자처럼 TGT(티켓 부여 티켓) 및 기타 여러 티켓의 수명은 제한되어 있습니다. 차이점이라면 "Kerberos화된" 명령은 사용자에게 여권이 있음을 알고 있어 자동으로 비자를 얻는다는 것입니다. 즉, 사용자가 트랜잭션을 직접 수행할 필요가 없습니다.
TGT(티켓 부여 티켓)가 네 곳의 스키 리조트에서 3일 동안 사용할 수 있는 스키 패스라고 생각해 볼 수도 있습니다. 방문하려는 리조트의 패스를 보여 주면 패스 유효 기간 동안에는 해당 리조트의 리프트 티켓을 받을 수 있습니다. 리프트 티켓이 있으면 해당 리조트에서 원하는 만큼 스키를 탈 수 있습니다. 다음 날 다른 리조트를 방문한 경우 다시 패스를 보여 주면 새 리조트의 리프트 티켓을 추가로 얻을 수 있습니다. 차이점이라면 Kerberos 기반 명령은 사용자에게 주말용 스키 패스가 있음을 알고 있어 자동으로 리프트 티켓을 얻는다는 점입니다.
-
KDC는 TGT(티켓 부여 티켓)를 만들어 암호화된 형태로 다시 클라이언트로 보냅니다. 클라이언트는 클라이언트의 암호를 사용하여 TGT(티켓 부여 티켓)를 해독합니다.
-
이제 유효한 TGT(티켓 부여 티켓)가 생겼으므로, 클라이언트에서는 TGT(티켓 부여 티켓)가 유효한 동안 모든 종류의 네트워크 작업(예: nfs 또는 ssh)에 대한 티켓을 요청할 수 있습니다. 이 티켓은 보통 몇 시간 동안만 지속됩니다. 클라이언트에서는 고유 네트워크 작업을 수행할 때마다 KDC로부터 해당 작업에 대한 티켓을 요청합니다.