理解习语"kerberos登录“和"kerberos密码”

Question

我正在处理与数据库的kerberized连接。我想我理解kerberization的基础知识。用户请求KDC的"Authentication Server“部分获取TGT (Ticket Granting )，然后当用户需要访问需要用户认证的服务时，用户将TGT发送到KDC的另一部分，KDC的另一部分在验证允许用户访问该服务后提供”服务票证“。然后，用户将此“服务票证”转发到服务器并获得服务。

我也听说过idom "kerberos login“和"kerberos password”。我不太明白他们到底指的是什么？

有什么建议吗？

谢谢,

Answer 1

你首先需要另一个术语："Kerberos主体“。你可以说它是“完整的登录名”。如果您使用密码进行身份验证(而不是像智能卡这样更安全的东西)，那么您的"Kerberos密码“就是用于验证Kerberos主体的密码。

两者都用于向AS = Authentication Server认证用户(当然，密码永远不会以明文发送！)。如果身份验证被授予，用户将收到一个会话密钥。

然后使用会话密钥请求TGTs您在摘要中省略了身份验证步骤。身份验证服务器永远不会处理有关TGT的任何内容，这就是票证授予服务的用途。(即使两者都在同一台机器上实现，它们仍然是独立的服务。)

实际上，这并不是那么复杂；它主要是术语。

对于初学者，请阅读Wikipedia article on Kerberos或查看一些like this one或this图。作为参考，您可以阅读The Kerberos Tutorial。(同样令人感兴趣的可能是解释Kerberos背后原理的Designing an Authentication System: a Dialogue in Four Scenes，以及布莱恩·董的"The Moron's Guide to Kerberos"。)

我希望这能回答所有问题-如果不能，请重新表述/更新您的问题。