在分布式环境中使用 DCE 安全性框架的安全考虑因素

核心提示： PAC 的组成部分身份验证标志：此标志显示此 PAC 是否经过了 DCE 安全机制的身份验证，DCE 单元 UUID：一个单元的 UUID，在分布式环境中使用 DCE 安全性框架的安全考虑因素(8)，主体在该单元中的注册表中注册，主体 UUID：一个主体的 UUID，STkt 和会话密钥供客户端

PAC 的组成部分

身份验证标志：此标志显示此 PAC 是否经过了 DCE 安全机制的身份验证。

DCE 单元 UUID：一个单元的 UUID，主体在该单元中的注册表中注册。

主体 UUID：一个主体的 UUID，PAC 中描述了该主体的安全属性。

主要组 UUID：同一单元中此主体主要属于的组的 UUID。

辅助组 UUID：同一单元中此主体所属的所有组的 UUID。

外来组 UUID：此主体所属的、在远程调用中注册的组的 UUID。

特权服务使用 PTGT 和 PSTkt 来交换 PAC。简言之，PTGT 和 PSTkt 分别是 TGT 和 STkt，它们包含 PAC。图 6 展示了 PTGT 和 PSTkt 的结构。从图中很容易看出，PTGT 类似于 TGT，而 PSTkt 类似于 STkt。但是它们之间存在两个重大区别：

特权票证还包含一个客户端 PAC；

特权票证将特权服务指定为客户端，而 TGT 和 STkt 指定了真实的客户端。

图 6. PTGT 和 PSTkt 的结构

下一节通过图 7 介绍 DCE 中的特权服务的工作原理。

获得 PTGT

客户端首先将一个 TGT 发送给授权服务，授权服务然后向客户端提供一个 STkt 和一个会话密钥。STkt 和会话密钥供客户端用来与特权服务通信。客户端将一个 PTGT 请求发送给特权服务，其中包含 STkt 和会话密钥。