В Kerberos сервер аутентификации (AS) и сервер выдачи билетов (TGS) обычно реализуются на одном сервере. Этот компьютер называется Центром распространения ключей (KDC).
Конечно, есть смысл реализовать эти службы на одной и той же физической машине, поскольку в малых и средних сетях было бы излишним разделять эти две службы. Вдобавок у меня есть относительно надежный источник, в котором говорится (переведено):
TGS и AS должны иметь доступ к одной и той же БД => нет смысла реализовывать TGS и AS на разных машинах
Однако я не вижу, какая база данных должна быть разделена между ними.
Это моя идея, как бы разделить AS и TGS, нет общих баз данных:
Когда пользователь хочет использовать услугу (упрощенно):
Я что-то упустил или действительно нет проблем с разделением AS и TGS?
Ваш вопрос - это все теория. Так что отвечу тем же. AS и TGS являются логическими серверами, и как таковые они мог теоретически отделиться. Но на практике не было веских причин для реализации их на отдельных машинах, и поэтому в реальной жизни никто не делает этого. Даже самые большие и загруженные сети в мире с точки зрения аутентификации Kerberos не нуждаются в разделении логических компонентов KDC. В реальных реализациях Kerberos все данные, необходимые AS, и все данные, необходимые TGS, хранятся в одной базе данных. Это мог теоретически быть разделенным, но для этого просто нет веских причин, и это не приведет ни к чему, кроме ненужного усложнения реализации.