CASには、TGT(Ticket Granting Ticket)とST(Service Ticket)があります。 TGTを既にお持ちの場合、STが必要な理由はわかりません。 TGTの有効性を確認して、TGTの所有者のためにクライアントに許可するために緑色のライトを戻すことができます。CASのKerberos Service Ticket(ST)のポイントは何ですか?
TGTの横にSTと呼ばれる追加チケットが必要なのはなぜですか?
ケルベロスの世界では、サービスチケット(ST)は、たとえば、一部のサーバーで実行されているHTTPサービスやSSHサービスなどのアプリケーションサービスへのアクセスを提供します。このような例の実際のHTTPサービスまたはSSHサービスは、保護されたリソースとみなされます。Kerberosサービスチケットを提供することによって、そのサービスにあなたの身元を証明する必要があります。さて、少し前に歩いてみましょう。 KDCからサービスチケットを取得するには、TGTを所有している必要があります。 TGTは、KerberosクライアントがSTを取得するためにKerberosクライアントがKDCと同一であることを証明するメカニズムであり、STは、Kerberosクライアントがターゲットリソース(アプリケーションサーバー)に対してIDを証明するメカニズムです。アプリケーションサーバーはKerberosクライアントのTGTを検証せず、STを検証します。 Kerberosクライアントは、ユーザー、コンピュータ、またはサービスのいずれかになります。 Kerberosは、オーバーアーミング認証フレームワークアーキテクチャに移植可能ですが、Web上ではなく内部ネットワークでの使用のために設計されています。リファレンス:Kerberos: An Authentication Service for Computer Networks