Ein Authentifizierungs -Ticket ist eine Sicherheitskomponente des Kerberos -Netzwerksicherheitsprotokolls.Es fungiert als ein Token, eine kleine Sammlung von Daten, die zwischen einem Client -Computer und einem Server übergeben wird, so dass die beiden Computer eine Identität zueinander erweisen können.Über diese gegenseitige Netzwerkidentifikation hinaus beschreibt das Ticket auch die Berechtigungen, die der Client für den Zugriff auf den Server und seine Dienste sowie eine für die Sitzung zugewiesene Zeit hat.

Es gibt im Wesentlichen zwei Arten von Authentifizierungs -Ticket.Ein Ticket, das Ticket (TCT) (TGT), das ebenfalls als Ticket für Tickets bezeichnet wird, bezeichnet wird, ist das primäre Ticket, das ausgestellt wird, wenn der Client -Computer seine Identität zum ersten Mal festlegt.Diese Art von Ticket dauert in der Regel einen langen Zeitraum, über 10 oder mehr Stunden, und kann jederzeit in dem Zeitraum erneuert werden, in dem der Benutzer am Netzwerk angemeldet ist.Mit einem TGT kann der Benutzer einzelne Authentifizierungs -Tickets anfordern, um auf andere Server im Netzwerk zuzugreifen.

Ein Client-zu-Server-Ticket, das ebenfalls als Sitzungsticket bezeichnet wird, ist die zweite Form des Authentifizierungs-Tickets.Dies ist in der Regel ein kurzlebiges Ticket, das ausgehändigt wird, wenn ein Client auf einen Dienst auf einem bestimmten Server zugreifen möchte.Das Sitzungsticket enthält die Netzwerkadresse für Client -Computer, die Benutzerinformationen und eine Dauer, in der das Ticket gültig ist.In einigen Kerberos -Implementierungen wie Microsofts Active Directory Eine dritte Art von Ticket, die als Überweisungskarte bezeichnet wird, kann ebenfalls verwendet werden.Dieser Ticketyp wird gewährt, wenn ein Client auf einen Server zugreifen möchte, der sich in einer Domäne befindet, die von seiner eigenen getrennt ist.

Die Art und Weise, wie das Kerberos -Ticketgewährungssystem funktioniert), das das gesamte Authentifizierungs -Ticketsystem liefert.Diese Maschine hat zwei Unterkomponenten aus, von denen die erste als Authentifizierungsserver (AS) bezeichnet wird.Die AS Bescheid über alle anderen Computer und Benutzer im Netzwerk und behalten eine Datenbank über ihre Passwörter.Wenn sich ein Benutzer im Netzwerk anmeldet, gewährt er ihm ein TGT.

an dem Punkt, an dem ein Benutzer irgendwo im Netzwerk auf einen Server zugreifen mussDer KDC, den Ticket Granting Server (TGS) genannt.Das TGS sendet ein Sitzungsticket an den Benutzer zurück, der es dann verwenden kann, um auf den von ihm angeforderten Server zugreifen zu können.Wenn der Server das Sitzungsticket empfängt, wird eine andere Nachricht an den Benutzer zurückgeschickt, die seine Identität überprüfen und dass der Benutzer auf den angeforderten Dienst zugreifen darf.Bei einem Empfehlungs -Ticket ist ein zusätzlicher Schritt erforderlich, bei dem der KDC der Heimdomäne stattdessen ein Empfehlungs -Ticket erstellt, mit dem der Client Sitzungskarten von einem anderen KDC in einer anderen Netzwerkdomäne anfordern kann.Dieser gesamte Ticketgenerierungs- und -prozessprozess wird auf jedem Schritt auf dem Weg zum Schutz vor einem Angreifer verschlüsselt, das sich als Benutzer abhört oder tarnt.Wenn es einem Angreifer schafft, Zugriff auf den KDC zu erhalten, erhält er im Wesentlichen Zugriff auf alle Benutzeridentitäten und Passwörter und kann dann jeden ausgeben.Sollte der KDC nicht verfügbar sein, könnte niemand das Netzwerk nutzen.Ein weiteres Problem sind die detaillierten Lebenszyklen der Tickets, die erfordern, dass alle Computer im Netzwerk ihre Uhren synchronisiert haben.