51.3. Kerberos 인증 표시기
KDC(Kerberos Key Distribution Center)는 클라이언트가 ID를 증명하는 데 사용한 사전 인증 메커니즘을 기반으로 인증 표시기 를 TGT( 티켓 제공 티켓)에 연결합니다.
otp
- 이중 인증 (암호 + 일회 암호)
마케도니아
- RAID 인증(일반적으로 802.1x 인증의 경우)
pkinit
- PKINIT, 스마트 카드 또는 인증서 인증
강화
- 강화된 암호 (SPAKE 또는 FAST)[1]
그런 다음 KDC는 TGT의 인증 표시기를 통해 발생하는 모든 서비스 티켓 요청에 연결합니다. KDC는 인증 지표에 따라 서비스 액세스 제어, 최대 티켓 수명, 최대 재생성 기간 등의 정책을 시행합니다.
인증 표시기 및 IdM 서비스
서비스 또는 호스트를 인증 표시기와 연결할 경우 해당 인증 메커니즘을 사용하여 TGT를 획득한 클라이언트만 액세스할 수 있습니다. 애플리케이션 또는 서비스가 아닌 KDC는 서비스 티켓 요청의 인증 표시기를 확인하고 Kerberos 연결 정책에 따라 요청을 허용하거나 거부합니다.
예를 들어, VPN(Virtual Private Network)에 연결하는 데 2단계 인증이 필요한 경우 otp
인증 표시기를 해당 서비스와 연결합니다. 고유한 TGT를 받기 위해 일회성 암호를 사용한 사용자만 VPN에 로그인할 수 있습니다.
그림 51.1. otp 인증 표시기가 필요한 VPN 서비스의 예
서비스 또는 호스트에 인증 표시기가 할당되지 않은 경우 메커니즘에서 인증된 티켓을 수락합니다.