Как система защиты Kerberos обрабатывает получение TGT в сетях Windows?

Система защиты Kerberos обрабатывает получение TGT (Ticket-Granting Ticket) в сетях Windows следующим образом: gubin.systems

1. Аутентификация клиента. gubin.systems Клиент отправляет запрос на Authentication Server (AS). gubin.systems AS проверяет учётные данные и выдаёт TGT, зашифрованный ключом KDC. gubin.systems TGT содержит имя пользователя, время выдачи, срок действия и сессионный ключ между клиентом и TGS. gubin.systems
2. Запрос билета на доступ к сервису. gubin.systems Клиент отправляет TGT вместе с запросом на доступ к определённому сервису (например, базе данных). gubin.systems TGS проверяет TGT и выдаёт Service Ticket, зашифрованный ключом этого сервиса. gubin.systems Сервисный билет содержит имя пользователя, время выдачи и сессионный ключ между клиентом и сервером. gubin.systems
3. Доступ к сервису. gubin.systems Клиент отправляет Service Ticket на сервер. gubin.systems Сервер расшифровывает его своим ключом и проверяет подлинность. gubin.systems Если всё верно, клиент получает доступ к ресурсу. gubin.systems

TGT является действительным в течение 8 часов или до завершения сеанса пользователя. interface31.ru Если злоумышленник перехватил запрос KDC, то он может на основе открытых данных послать клиенту поддельный сеансовый ключ и TGT, но не сможет расшифровать метку времени, так как не обладает долговременным ключом. interface31.ru