0

ユーザーがドメインに参加しているコンピューターにログオンしている場合、またはクライアントが同じドメイン内のサービスに要求を送信している場合、どちらの場合も、Kerberos ドキュメントには次のように記載されています。

KDC は事前認証データを復号化し、内部のタイムスタンプを評価します。タイムスタンプがテストに合格すると、KDC は事前認証データがユーザー キーで暗号化されたことを確認できるため、ユーザーが本物であることを確認できます。

サービスは、セッション キーを使用してユーザーのオーセンティケーターを復号化し、内部のタイムスタンプを評価します。オーセンティケーターがテストに合格すると、サービスはクライアントの要求で相互認証フラグを探します。

KDC とサービスがタイムスタンプを「評価」する方法を説明してもらえますか? また、タイムスタンプを評価することは、ユーザーの身元を確認することとどのように関連していますか?

PS: How the Kerberos Version 5 Authentication Protocol Worksから引用しています

4

2 に答える 2

1

事前認証メッセージで、サーバーは現在のセッション キー (またはユーザーのパスワードから派生したキー) で暗号化された現在のタイムスタンプを受け取ります。

そのため、サーバーはセッション キーを使用してこのメ​​ッセージを復号化しようとし、結果が指定されたタイム ウィンドウ内のタイムスタンプである場合、サーバーは正しいキーを知っている誰かによって暗号化が行われたことを確認できます。間違ったキーを使用して行われた場合、通常、復号化されたタイムスタンプは現在の時刻からかなりずれています。

于 2013-09-09T11:54:56.733 に答える
0

データは所定の時間内に到着する必要があり、そうでない場合は破棄されます。「クロック スキューが大きすぎる」を探します。

于 2013-09-05T19:29:55.890 に答える