使用kerberos的PAC

Question

我目前在kerberos上工作，目前对MS-KILE kerberos扩展中的PAC有这个疑问。

包是否可以包含在授权数据的pactype结构中，供客户端解密和解码。

似乎(如果我的理解正确的话)，PAC是用目标服务器的加密密钥加密的，只有kdc和目标服务器知道，因此，客户端只需要在请求服务时将其转发到服务器，而不应该解密和提取有关其凭据的详细信息。

有没有办法即时解密它？(在AS-REP中有足够的信息可供我提取和解密吗？

Answer 1

你的理解是正确的。PAC由目标服务器的加密密钥加密，只有KDC和目标服务器知道。因此，客户端无法解密和提取有关其凭据的详细信息。这是为了确保没有人可以修改PAC中的内容。