이 인증 프로토콜은 사용자가 액세스를 요청하는 서버 또는 서비스의 암호에서 파생된 대칭 키로 암호화된 세션 티켓을 사용합니다. 세션 티켓을 요청하려면 도메인 컨트롤러의 키 배포 센터 서비스에 티켓 부여 티켓이라는 특별 티켓을 제시해야 합니다. 이것은 수학적으로 정확한 유형 계층구조인,강력한 타입을 정의합니다.
이 서비스는 도메인 내의 모든 서비스 서비스 간에 공유됩니다. 이 계정은 도메인의 첫 번째 설치 과정에서 자동으로 생성됩니다. 기본적으로 비활성화되어 있습니다. 다른 광고 사용자 계정과 달리 도메인에 대화형으로 로그온하는 데 사용할 수 없습니다. 기본 제공 계정이기 때문에 이름을 바꿀 수 없습니다.
읽기 전용 도메인 컨트롤러입니다. 광고 데이터베이스의 읽기 전용 파티션을 호스팅합니다. 그것은 윈도우 도메인의 모든 사용자 계정의 암호 해시를 저장하지 않습니다; 암호 해시만 저장합니다. 이 메서드는 도메인에 있는 모든 사용자 계정의 암호 해시의 복사본을 보유하는 기본 읽기/쓰기 암호 해시의 손상보다 훨씬 적은 위험을 나타냅니다. 따라서 로드는 보안 수준이 낮은 것으로 간주될 수 있는 방식으로 배포될 수 있습니다. 조직은 일반적으로 지사 또는 비무장 지대에 배포합니다.
이 경우,각 서비스 제공업체는 특별 로컬 서비스 제공업체에게 티켓을 요청할 수 있습니다. 여기서”123″은 임의의 숫자의 문자열입니다. 이 임의의 문자열은 로드크를 고유하게 식별하며 로드크가 설치될 때 생성됩니다.
도메인에 있는 로드컴퓨터의 다른 로컬 루트 계정은 광고에 저장되고 사용자 컨테이너 아래의 액티브 디렉토리 사용자 및 컴퓨터에 표시됩니다. 또한 도메인에 있는 모든 로그아웃은 도메인에 있는 로그아웃의 암호 해시를 복사하여 보관합니다. 세션 티켓을 요청하는 데 사용할 수 있습니다.즉,클라이언트 컴퓨터에서 로드 자체에 대해 새 트랜잭션 요청을 요청하도록 요청하는 커베로스 오류를 반환합니다. 사용자 암호 해시의 복사본이 없는 경우 이 경우 로드는 프록시 역할을 합니다. 또한 사용자 암호 해시를 캐싱하는 프로세스를 트리거하여 나중에 특정 사용자에 대한 암호 해시를 만들 수 있습니다. 사용자 계정의 암호 해시를 캐시할 수 있는 경우 캐싱이 성공합니다.
관련:읽기 전용 도메인 컨트롤러를 설치하고 구성하려면 어떻게 해야 합니까?