kerberos认证学习

kerberos

首先阐释一下TGT和TGS

TGT：kerberos hash（login session key，client info)---golden（黄金票据）

如果是服务hash被获取就会产生白银票据（白银票据不能用于双向认证）

s（服务）--->DC(域控)----->AD(数据库查询)

• 1.AS-REQ c-s（本地kerberos服务会向KDC认证服务发送AS-REQ认证请求）

用户名+主机名+authenticator可以理解成加密因子（用户ntlm-hash（timestamp））

• 2.AS-REP s-c（KDC接收到请求会通过AD进行查询用户密码的hash，用该hash对请求包的authenticator进行解密看看是不是能不能解密成功。）

响应包：TGT+用户NTML-hash加密的login session key（用于下一阶段的交互中数据加密）以及一些其他的信息

• 3.TGS-REG c-s（客户端向KDC申请针对服务的票据）

请求包：INFO+auyhenticator（login session key（timestamp））+TGT（认证凭证）+server time

• 4.TGS-REP s->c（krbgt_NTML Hash解密TGT获得login session key，然后通过该key去解密authenticator）若解密成功会返回响应包

响应包：kdc生成的用login session key加密的用于cs通信的server session key会话密钥和ST（服务票据）

• 5.AP-REQ c-s（客户端收到TGS后，通过login session key解密得到server session key）

请求包:ST+authenticator

• 6.AP-REP s-c（服务端用server-NTML-hash解密ST服务票据，并从中提取server session key。并对加密因子进行解密）若成功就可以访问服务 。