2.2.5 - Centro de Distribuição de Chaves
O servidor de autenticação no ambiente Kerberos, baseado em sua função de distribuição de bilhetes para acesso a serviços, é chamado de "Centro de Distribuição de Chaves", ou mais brevemente, KDC (do inglês Key Distribution Center). Uma vez que ele reside inteiramente em um único servidor físico (frequentemente coincide com um único processo), ele pode ser logicamente considerado como dividido em três partes: banco de dados, servidor de autenticação e servidor de concessão de bilhetes.
Banco de Dados
O banco de dados é o recipiente de registros associados a usuários e serviços. Refere-se ao registro pelo uso do principal. Cada registro contém as seguintes informações:
- o principal ao qual o registro é associado;
- a chave de criptografia e kvno associada;
- a duração máxima da validade do bilhete associado ao principal;
- o tempo máximo que um bilhete associado a um principal pode ser renovado (apenas no Kerberos 5);
- os atributos ou flags caracterizadores do comportamento dos bilhetes;
- a data de expiração da senha;
- a data de expiração do principal, após o qual nenhum bilhete será emitido.
A fim de dificultar o roubo de chaves do banco de dados, as implementações criptografam o banco de dados usando uma chave mestre, que é associada com o principal K/M@DOMÍNIO. Mesmo quaisquer despejos do banco de dados, usados como cópia de segurança ou propagação do KDC mestre para o escravo, são criptografados usando essa chave, que é necessária para saber recarregá-los.
Servidor de Autenticação
O servidor de autenticação, abreviado por AS (do inglês Authentication Server), é a parte do KDC que responde à solicitação de autenticação inicial do cliente, quando o usuário, ainda não autenticado, deve entrar com a senha. Em resposta à solicitação de autenticação, o servidor emite um bilhete especial conhecido como "Bilhete de Concessão", ou mais brevemente, TGT (do inglês Ticket Granting Ticket), cujo principal associado é generico/DOMÍNIO@DOMÍNIO. Se os usuários são realmente quem dizem ser, eles são quem pode usar o TGT para obter bilhetes de serviço, sem ter de reentrar com suas senhas.
Servidor de Concessão de Bilhetes
O servidor de concessão de bilhetes, abreviado por TGS (do inglês Ticket Granting Server), é o componente do KDC que distribui bilhetes de serviço a clientes com TGT válido, garantindo a autenticidade de sua identidade para obter o recurso solicitado aos servidores de aplicação. O TGS pode ser considerado como um servidor de aplicação (dado que para acessá-lo é necessário apresentar o TGT) que provê a distribuição de bilhetes de serviços.
Próximo: 2.2.6 - Chave de Sessão