Kerberos V5 工作原理
Kerberos V5 身份验证机制颁发用于访问网络服务的票证。这些票证包含能够向请求的服务确认用户身份的经过加密的数据,其中包括加密的密码。除了输入密码或智能卡凭据,整个身份验证过程对用户都是不可见的。
Kerberos V5 中的一项重要服务是密钥分发中心 (KDC)。KDC 作为 Active Directory 目录服务的一部分在每个域控制器上运行,它存储了所有客户端密码和其他帐户信息。
Kerberos V5 身份验证过程按如下方式工作:
|
1. |
客户端系统上的用户使用密码或智能卡向 KDC 进行身份验证。 |
|
2. |
KDC 向此客户端颁发一个特别的授权票证。客户端系统使用该 TGT 访问授票服务 (TGS),这是域控制器上的 Kerberos V5 身份验证机制的一部分。 |
|
3. |
TGS 接着向客户端颁发服务票证。 |
|
4. |
客户端向所请求的网络服务出示服务票证。服务票证向此服务证明用户的身份,同时也向该用户证明服务的身份。 |
Kerberos V5 服务安装在每个域控制器上,并且 Kerberos 客户端则安装在每个工作站和服务器上。
每个域控制器作为 KDC 使用。客户端使用域名服务 (DNS) 定位最近的可用域控制器。域控制器在用户登录会话中作为该用户的首选 KDC 运行。如果首选 KDC 不可用,系统将定位备用的 KDC 来提供身份验证。
