Napriklad pri poziadavku user@host1 -> http@host2 -> postgres@host3, mi staci prihlasenie na host1, host2 ziadne ulozene heslo pre host3 nepotrebuje, pouzije tiket z host1. Staci ak KDC vie kto z kade sa moze pripojit kam.
Ospravedlňujem sa za offtopic vzhľadom k pôvodnej otázke vlákna, ale ako by host 2 na host 3 mal použiť ticket z host1?
Pokiaľ ma pamäť neklame, tak klient si Kerberos ticket od TGS žiada pre konkrétnu službu a ticket ktorý dostane, je zašifrovaný kľúčom danej služby. To, že ho služba rozšifruje sa považuje za časť overenia (t.j. služba vie, že token pripravil TGS ktorý pozná jej kľúč, takže potom verí obsahu tokenu). Ak by sa ale host2 snažil impersonovať klienta voči host3 prepoužitím tokenu, tak daný token host3 nerozbalí a neoverí, pretože je zašifrovaný kľúčom pre host2. Jedine, že by host2 a host3 mali identický kľúč, čo ale neviem, či je správne a žiadúce, pretože tento pattern by sa rozliezol a nakoniec by všetky služby (ktoré sa navzájom volajú) museli mať identické kľúče.