1.2. Kerberos 组件

票证

ticket 是一种安全令牌形式，Kerberos 使用它针对主体发布和身份验证及授权决策。

身份验证服务

身份验证服务(AS )在主体首次登录网络时需要登录。身份验证服务负责签发票据授予票据(TGT)，这是根据票据授予服务和随后访问受保护服务和资源进行验证所需的。

ticket 授予服务

票据授予服务 (TGS)负责向主体和他们尝试访问的目标服务器发出服务票据和特定的会话信息。这基于由主体提供的 TGT 和目的地信息。然后，使用此服务票据和会话信息建立与目的地的连接，并访问所需的安全服务或资源。

密钥分发中心

关键分发中心 (KDC)是同时承载 TGS 和 AS 的组件。KDC 以及客户端或主体以及服务器或安全服务是执行 Kerberos 身份验证所需的三个部分。

ticket 授予票据

授予票据(TGT )是 AS 向主体发出的票据类型。TGT 旦通过其用户名和密码针对 AS 成功进行了验证后被授予 TGT。TGT 由客户端在本地缓存，但经过加密后，只有 KDC 可以读取它并且客户端无法读取。这允许 AS 在 TGT 中安全地存储授权数据和其他信息，供 TGS 使用，并让 TGS 能够使用此数据做出授权决策。

Service Ticket

服务票据 (ST)是基于 TGS 的 TGT 和预期目的地向主体发出的票据类型。主体为 TGS 提供 TGT 和预期目的地，TGS 验证主体是否可以根据 TGT 中的授权数据访问目的地。如果成功，TGS 会为客户端和目的地服务器（即含有受保护服务或资源的服务器）向客户端发出 ST。这授予客户端对目标服务器的访问权限。ST 由客户端和服务器缓存，并且可由客户端和服务器读取，也包含允许客户端和服务器安全通信的会话信息。