Kerberos和电子商务是否不一致？

Question

我最近读到了Kerberos及其用于安全验证用户的伟大算法。

但是Kerberos的“缺点”是，它需要直接从身份验证服务器(使用Kerberos so实现)手动添加凭证(称为“主体”)。

因此，除非我忽略它，否则不可能在电子商务中使用经典表单向Kerberos添加新用户。实际上，很明显，这将浪费Kerberos原则，因为凭据将通过网络发送，即使它们是用SSL加密的……

您能否确认Kerberos不能用于要求每个用户创建自己并添加自己的登录/密码的传统Web站点？这意味着不需要Kerberos服务器的管理员。

Answer 1

就技术功能而言，您可以使用Kerberos作为身份验证信息的后备存储，同时仍然支持SSL上的用户名和密码。这不是理想的Kerberos模型，因为它意味着用户所在的本地系统以外的系统将获得密码的副本。但这只是意味着您没有使用Kerberos的全部安全功能；这并不意味着Kerberos不能工作。出于其他原因，使用Kerberos可能仍然很方便。

Kerberos的一个肮脏的小秘密是，几乎每个大规模部署Kerberos的站点都接受至少某些应用程序的SSL用户名和密码，并在服务器上验证用户名和密码。在很多情况下，没有其他好的方法可以做到这一点。对于web应用程序来说尤其如此。虽然许多web浏览器确实支持SPNEGO通过Negotiate Auth进行真正的Kerberos身份验证，但这在很多情况下都不起作用(系统上没有Kerberos本地，kiosk系统，没有本地Kerberos库的电话设备等)。

(我是斯坦福大学的Kerberos管理员，也是我们的web身份验证系统的维护者，该系统基于Kerberos，但对于大多数用户来说，仍然通过SSL获取用户名和密码，并在中央web登录服务器上验证它们。)