Estaba leyendo acerca de la autenticación kerberos y cómo la contraseña no se transfiere por cable, pero existe en la base de datos kdc para cifrar o descifrar mensajes, y solo se transfieren los tickets después de la validación. Me pregunto cuando el usuario cambie su contraseña en el cliente, ¿cómo actualizará la nueva contraseña en la base de datos kdc?
En términos simples, Kerberos es un protocolo utilizado para autenticar usuarios en una red.
En este ejemplo, el cliente puede cambiar su contraseña en la máquina cliente, que a su vez se guarda en la base de datos de contraseñas de la red, que se usa comúnmente es Active Directory.
El protocolo Kerberos requiere que el usuario se autentique primero contra un servidor de autenticación, en este ejemplo sería el servidor que tiene el directorio activo, comúnmente llamado controlador de dominio.
Una vez autenticado, Kerberos asigna un ticket que se usa en lugar de la contraseña mientras se desea el protocolo, como solicitar tickets de servicio.
Al autenticar al usuario, se encripta un elemento compartido (una marca de tiempo) con su hash, si el kdc logra descifrar la marca de tiempo con el mismo hash, devolverá un TGT . Esto se firma con el hash de contraseña secreta del kdc. (en un entorno de Microsoft, esta es la contraseña de krbtgt)
Al reemplazar la contraseña, debe proporcionar un TGT válido, la contraseña original y la nueva contraseña cifradas. (y no hash) esto se hace usando el protocolo kadmin que usa kerberos como protocolo de transporte. Consulte enlace
Lea otras preguntas en las etiquetas authentication kerberos