我正在处理与数据库的kerberized连接。我想我理解了kerberization的基础知识。用户请求KDC的“认证服务器”部分获取TGT(票证授予票证),然后当用户需要访问需要用户进行认证的服务时,用户将TGT发送到KDC的另一部分,该部分提供验证允许用户访问服务后的“服务票证”。然后,用户将此“服务票证”转发到服务器并获取服务。
我也听说过“kerberos登录”和“kerberos密码”。 我不太明白他们究竟是什么意思并且指的是什么?
请指点什么?
谢谢,
答案 0 :(得分:3)
首先需要另一个术语:“Kerberos Principal”。你可以说它是“完整的登录名”。如果您使用密码进行身份验证(而不是像智能卡那样安全),则“Kerberos密码”是用于验证Kerberos主体的密码。
两者都用于向AS = Authentication Server发送用户身份(当然,密码永远不会以明文形式发送!)。如果授予了身份验证,则用户会收到会话密钥。
然后会话密钥用于询问TGT - 您在摘要中省略了身份验证步骤。身份验证服务器永远不会处理任何有关TGT的事情,这就是票证授予服务的用途。 (即使两者都在同一台机器上实现,它们仍然是独立的服务。)
这一切都不是那么复杂,真的;这主要是术语。
对于初学者,请阅读Wikipedia article on Kerberos或查看一些图表like this one或this。供参考,您可以阅读 The Kerberos Tutorial。 (也可能是感兴趣的 Designing an Authentication System: a Dialogue in Four Scenes解释了Kerberos背后的理由,以及Brian Tung的"The Moron's Guide to Kerberos"。)
我希望全部答案 - 如果没有,请重新说明/更新您的问题。