ドメインに所属しているWindows10 をパワーオンし、ユーザー名とパスワードを入力してデスクトップが表示されるお馴染みの流れにおいて、2点質問いたします。
- ユーザー名とパスワードを入力すると、AD からTGT が交付され、そのTGT をもとにいくつかのTGS を発行してもらうという認識ですが、こちらは正しいでしょうか?
- Powershell においてklist コマンドで端末が持っているTGT/TGS を確認できます。ここで、コマンド:klist purge でチケットを全削除して、kerberos でSSO できるアプリケーションを起動すると、自動的にTGTとそのアプリケーションにおけるTGS が発行されます。TGT を削除しているので、またユーザー名/パスワードを入力して再度TGT をADから貰いにいくのかな、と思っていたのですが、TGT が自動発行されるのはなぜでしょうか?アクセス先のアプリケーションがAD にTGT を貰いに行くようリダイレクトさせて、そこで既にユーザーがログイン済みのため、改めてユーザー名/パスワードを入力させることなく、AD はTGT を端末に渡す、という理解で正しいでしょうか?
お手すきの際で構いませんので、何かご存知であれば教えていただけますでしょうか。
よろしくお願いいたします。
あなたの回答
tips
プレビュー