Security 传递Kerberos（TGT）票证授予票证。双跳实现安全吗？

为什么可以在机器之间（甚至在网络之间）传递Kerberos TGT？这不是在传递一个私钥吗（这在安全领域是非常不受欢迎的）

到目前为止，我读到的唯一的保护是它有一个固定的有效时间

---

请回答为什么传递TGT是可以的而传递私钥不是。请假设我了解所有内容都将通过SSL/TLS传输，并且这些敏感数据在静止时会被加密。

传递TGT就像通过SSL/TLS通道传递sessionId，而不是通过开放网络传递私钥：）。它是安全的。TGT内容是加密的，并且由intendet收件人只读

除非我遗漏了什么，否则客户机不会传递TGT：TGT是客户机在向身份验证服务（AS）进行身份验证后收到的

当客户机想要连接到远程服务器/服务时，它会将其TGT（作为更大请求的一部分）发送到票证授予服务（TGS），然后该服务会返回票证，远程服务器/服务将能够使用其自己的TGT解密

所以，除非您讨论的是客户机和TGS之间，否则我不相信TGT是在客户机和服务器之间传递的

---

这里有一些文档：

嘿，约翰，我指的是一个通过转介（也称为双跳）的信托@funa68-啊，好的。你说的是老派代表团。我们使用约束委托，它利用S4U，而不是实际传递TGT。