Ticket Granting Ticket (TGT) یک فایل کوچک و رمزگذاری شده است که در سیستم‌های امنیتی کامپیوتری مانند Kerberos استفاده می‌شود. این فایل پس از احراز هویت به کاربر اعطا می‌شود و برای محافظت از ترافیک داده‌ها توسط مرکز توزیع کلید (KDC) استفاده می‌شود.

نحوه کارکرد TGT:

1. احراز هویت اولیه:کاربر ابتدا با استفاده از نام کاربری و رمز عبور خود به KDC احراز هویت می‌کند.
2. دریافت:TGTپس از احراز هویت موفق، KDC یک TGT به کاربر اعطا می‌کند. این TGT شامل کلید جلسه، تاریخ انقضا و آدرس IP کاربر است.
3. درخواست بلیط سرویس: کاربر با استفاده از TGT به سرویس بلیط‌دهی (TGS) درخواست بلیط سرویس می‌دهد.
4. دریافت بلیط سرویس: TGS پس از بررسی TGT، یک بلیط سرویس به کاربر اعطا می‌کند که به کاربر اجازه دسترسی به سرویس‌های شبکه را می‌دهد.

مزایای استفاده از TGT

• کاهش نیاز به ورود مکرر رمز عبور:با استفاده از TGT، کاربر نیازی به وارد کردن مکرر رمز عبور خود ندارد.
• افزایش امنیت: TGT با استفاده از رمزگذاری، از حملات مرد میانی (man-in-the-middle) جلوگیری می‌کند.
• مدیریت متمرکز: KDC به عنوان یک نقطه مرکزی برای مدیریت کلیدها و بلیط‌ها عمل می‌کند، که باعث افزایش امنیت و کارایی می‌شود.

چطور TGT را در Kerberos ایجاد کنیم؟

برای ایجاد یک Ticket Granting Ticket (TGT) در Kerberos، ابتدا باید با استفاده از نام کاربری و رمز عبور خود به سرویس احراز هویت Kerberos (AS) مراجعه کنید. پس از تأیید اعتبار شما، AS یک TGT صادر می‌کند که با استفاده از کلید مخفی که تنها بین AS و سرویس اعطای تیکت (TGS) شناخته شده است، رمزگذاری شده است. این TGT شامل هویت کاربر و یک تمبر زمانی است که دوره اعتبار آن را نشان می‌دهد. کاربر نمی‌تواند خودش TGT را رمزگشایی کند، زیرا با کلید مخفی TGS رمزگذاری شده است.

هنگامی که به یک سرویس شبکه خاص نیاز دارید، باید درخواست تیکت سرویس را از TGS ارائه دهید. این درخواست شامل TGT و نام سرویسی است که می‌خواهید به آن دسترسی پیدا کنید. TGT، TGS را رمزگشایی می‌کند، آن را تأیید می‌کند و اگر کاربر مجاز به دسترسی به سرویس باشد، تیکت سرویس را برای آن سرویس صادر می‌کند. سپس کاربر از این تیکت سرویس برای دسترسی به سرویس شبکه مورد نظر استفاده می‌کند.

TGT در ماشین کاربر به صورت امن ذخیره می‌شود و در طول چرخه حیات خود رمزگذاری می‌شود تا از دستکاری و دسترسی غیرمجاز جلوگیری شود. TGT‌ها دارای دوره اعتبار محدودی هستند، پس از آن منقضی می‌شوند و دیگر نمی‌توان از آن‌ها برای درخواست تیکت‌های سرویس استفاده کرد. این امر خطر سوء استفاده طولانی مدت را در صورت به خطر افتادن TGT کاهش می‌دهد. کاربران می‌توانند بدون وارد کردن مجدد اعتبار خود، درخواست تجدید TGT را ارائه دهند، به شرطی که TGT هنوز منقضی نشده باشد.