Kerberos Ticket Chain
Kerberos는 비밀번호 반복 전송 대신 티켓으로 서비스 접근을 증명한다
KDC, AS, TGS, 서비스 티켓의 역할을 나누면 장점과 주의점을 한 답안에
안정적으로 담을 수 있다.
중앙 신뢰
KDC
인증 서버와 티켓 발급 서버를 포함하는 핵심 신뢰 지점이다.
시간
티켓 유효시간과 재전송 방지를 위해 시간 동기화가 중요하다.
감사
티켓 발급, 서비스 접근, 실패 원인을 로그로 이어서 본다.
01
사용자 인증
사용자는 처음 한 번 신원을 증명하고 티켓 발급을 요청한다.
02
TGT 발급
AS는 사용자가 이후 TGS에 제시할 티켓을 발급한다.
03
서비스 티켓
TGS는 특정 서비스에 접근할 수 있는 별도 티켓을 만든다.
04
서비스 접근
서비스는 티켓 유효성, 시간, 사용자 정보를 검증한다.
05
로그 추적
중앙 발급 이력과 서비스 접근 이력을 대조해 책임을 추적한다.
| 관점 | 장점 | 위험 | 답안 키워드 |
|---|---|---|---|
| 인증 관리 | 중앙에서 계정과 서비스 접근 관리 | KDC 장애나 탈취 영향이 큼 | KDC 보호, 이중화 |
| 비밀번호 | 서비스마다 비밀번호를 반복 전송하지 않음 | 초기 인증 정보 보호 필요 | 티켓 기반 인증 |
| 시간 검증 | 재전송 공격 탐지에 도움 | 시간 차이가 크면 인증 실패 | NTP, 유효시간 |
| 책임 추적 | 발급과 접근 로그를 묶어 볼 수 있음 | 로그 누락 시 분석 어려움 | 감사 로그 |
핵심 문장
Kerberos는 KDC가 티켓을 발급해 여러 서비스 인증을 지원한다.
운영 주의
KDC 보호, 시간 동기화, 티켓 탈취 방지, 로그 보관을 함께 쓴다.
비교 포인트
SSO 편의성과 중앙 장애 위험을 같이 말하면 답안 균형이 맞는다.