Kerberos화된 서버에 대한 자격 증명 얻기
-
특정 서버에 대한 액세스를 요청하려면 먼저 클라이언트가 해당 서버에 대한 자격 증명을 인증 서비스로부터 얻어야 합니다. TGS(티켓 부여 서비스)에 대한 자격 증명 얻기를 참조하십시오. 그런 다음 요청을 TGS(티켓 부여 서비스)로 보냅니다. 이 서비스에는 서비스 주체 이름(티켓 1)과 세션 키 1로 암호화된 인증자가 포함되어 있습니다. 티켓 1은 원래 TGS(티켓 부여 서비스)의 서비스 키를 사용하여 인증 서비스에 의해 암호화되었습니다.
-
TGS(티켓 부여 서비스)의 서비스 키는 TGS(티켓 부여 서비스)에서 알고 있기 때문에 티켓 1을 해독할 수 있습니다. 티켓 1의 정보에는 세션 키 1이 포함되어 있으므로, TGS(티켓 부여 서비스)는 인증자를 해독할 수 있습니다. 이때 사용자 주체는 TGS(티켓 부여 서비스)를 사용하여 인증됩니다.
-
성공적으로 인증되면 TGS(티켓 부여 서비스)가 사용자 주체 및 서버에 대한 세션 키(세션 키 2) 및 서버에 대한 티켓(티켓 2)을 생성합니다. 그런 다음 세션 키 2와 티켓 2가 세션 키 1을 사용하여 암호화됩니다. 세션 키 1은 클라이언트 및 TGS(티켓 부여 서비스)만 알고 있기 때문에 이 정보는 안전하며 네트워크를 통해 안전하게 전송할 수 있습니다.
-
클라이언트가 이 정보 패킷을 받으면 세션 키 1을 사용하여 정보를 해독합니다. 세션 키 1은 자격 증명 캐시에 저장되어 있습니다. 클라이언트가 서버에서 사용할 자격 증명을 얻었습니다. 이제 클라이언트가 해당 서버의 특정 서비스에 대한 액세스를 요청할 수 있습니다.
그림 2-6 서버에 대한 자격 증명 얻기
