Quy trình gồm 6 bước:
1. Tài khoản người dùng được xác thực với Domain Controller
Người dùng nhập username và password. Client sẽ gửi thông tin này đến Domain Controller (DC) để kiểm tra tính hợp lệ. Quá trình này sử dụng Kerberos (hoặc NTLM nếu cần tương thích cũ).
2. Domain Controller gửi Ticket Granting Ticket (TGT) về cho client
Nếu xác thực thành công, DC cấp cho client một vé TGT (một dạng token định danh, có thời hạn), được mã hóa bằng khóa bí mật của KDC (Kerberos Distribution Center).
3. Client dùng TGT để xin quyền truy cập vào máy trạm (workstation)
TGT được gửi tiếp đến DC kèm theo yêu cầu truy cập máy đích (ví dụ: Workstation).
4. DC cấp Service Ticket để truy cập vào workstation
Domain Controller kiểm tra yêu cầu, nếu hợp lệ sẽ gửi về một vé dịch vụ (Service Ticket) cho phép client truy cập vào máy trạm.
5. Client dùng TGT để xin quyền truy cập vào máy chủ (server)
Tương tự, nếu người dùng muốn truy cập tài nguyên trên một server khác (như file server), client lại dùng TGT để xin vé mới.
6. Domain Controller gửi Service Ticket để truy cập server
DC xác nhận và cấp Service Ticket cho phép người dùng truy cập tài nguyên trên máy chủ mục tiêu.
Giải thích thêm:
TGT (Ticket Granting Ticket) là một phần của cơ chế Kerberos, giúp giảm số lần người dùng phải nhập mật khẩu mỗi khi truy cập dịch vụ khác nhau.
Service Ticket được tạo riêng cho từng dịch vụ cụ thể (VD: File Server, SQL Server).
Domain Controller không chỉ xác thực người dùng mà còn phân phối các vé truy cập – chính là “cảnh sát an ninh” của hệ thống mạng nội bộ.
Ví dụ thực tế:
Khi bạn mở ổ đĩa chia sẻ \\fileserver01 trong File Explorer, hệ thống không yêu cầu bạn nhập lại mật khẩu vì Kerberos và AD đã cấp trước vé hợp lệ dựa trên đăng nhập ban đầu.
Lời khuyên cho người học MCSA, System Admin mới vào nghề:
Hiểu rõ quy trình Kerberos sẽ giúp bạn xử lý các lỗi như “access denied”, “cannot contact KDC”, “clock skew”.
Kiểm tra đồng bộ thời gian giữa client và DC là một bước cực kỳ quan trọng – Kerberos rất nhạy cảm với sai lệch thời gian.
