active directory - ¿Por qué el Servidor necesita acceso a Kerberos?

active-directory spnego (1)

Resulta que hay un montón de respuestas a esta pregunta ... Ni siquiera intentaré cubrirlas todas aquí (en parte por razones de brevedad, en parte porque los detalles se han vuelto brumosos y no los recuerdo a todos :) ) Cubriré los dos grandes que me vienen a la mente, pero de nuevo, hay más.

En primer lugar, usted está hablando de viajes de ida y vuelta al Distrito de Columbia como si todo se tratara de Curb ya que el DC es el KDC. Supongo que es una forma de verlo, pero la pila de autenticación de Windows en general hace mucho más que solo validar los tickets de Curb. Por ejemplo, se requieren cosas como la resolución de SID para sacar cara o cruz de los tickets que entran cuando se toman decisiones de authz. Así que la comunicación vuelve al DC (que es un KDC y más) por muchas razones y usando muchos protocolos, algunos de los cuales son compatibles con la pila authz, que es lo que es típicamente interesante para la mayoría de la gente.

En segundo lugar, para Curb específicamente ... hay algunas características del protocolo donde volver al KDC tiene un valor de seguridad. La validación de PAC es lo primero que viene a la mente. Sugiero que lean sobre esto ... esta es una de las trillizas publicaciones que lo cubren: http://blogs.msdn.com/b/openspecification/archive/2009/04/24/understanding-microsoft-kerberos-pac -validation.aspx Me gustaría señalar que en este caso, hay cosas que puede hacer para deshabilitar realmente este flujo corriente abajo> KDC (como dar el TCB principal). Sin embargo, estas cosas no se deben hacer a la ligera ... es decir, es más que una "solución de rendimiento" para considerar. :)