In CAS haben Sie Ticket Granting Tickets (TGT) und Service Tickets (ST). Ich sehe nicht, warum Sie STs benötigen, wenn Sie bereits ein TGT haben. Sie können das TGT einfach validieren und ein grünes Licht für die Autorisierung an den Kunden für den TGT-Besitzer zurückgeben.Worauf kommt es beim Kerberos Service Ticket (ST) in CAS an?
Warum brauchen wir ein zusätzliches Ticket neben dem TGT namens ST?
In der Kerberos-Welt bieten Servicetickets (STs) Zugriff auf Anwendungsdienste wie zum Beispiel einen HTTP- oder SSH-Dienst, der auf einem Server ausgeführt wird. Der eigentliche HTTP- oder SSH-Dienst in einem solchen Beispiel wird als geschützte Ressource betrachtet. Sie müssen Ihre Identität für diesen Dienst nachweisen, indem Sie ein Kerberos-Dienstticket bereitstellen. Lasst uns nun einen Schritt zurück gehen. Um Servicetickets vom KDC zu erhalten, müssen Sie ein TGT besitzen. Das TGT ist der Mechanismus, in dem der Kerberos-Client seine Identität mit dem KDC nachweist, um STs zu erhalten, und der STT der Mechanismus, mit dem der Kerberos-Client seine Identität mit der Zielressource (Anwendungsserver) nachweist. Anwendungsserver validieren TGTs des Kerberos-Clients nicht, sie validieren STs. Der Kerberos-Client kann entweder ein Benutzer, ein Computer oder sogar ein Dienst sein. Während Kerberos für jede übergreifende Authentifizierungs-Framework-Architektur portierbar ist, wurde es für die Verwendung innerhalb von internen Netzwerken und nicht über das Web entworfen. Referenz: Kerberos: An Authentication Service for Computer Networks