kerberos是否只加密身份验证或所有客户端通信？

Question

kerberos是否只加密身份验证过程或所有客户端通信？

我当时的印象是，这就像局域网的VPN。

所以所有的局域网通信都是加密的。就像所有的互联网通信都是用VPN加密的一样。

问候奥布里

Answer 1

Kerberos非常能够加密客户端和服务器之间的通信，但具体取决于在应用程序中使用kerberos的方式，它可能使用或不使用kerberos会话密钥来加密通信量。

kerberos协议提供了交换会话密钥的方法，会话密钥可用于在初始身份验证交换之后加密消息通信。对于实际使用GSSAPI的协议，加密消息交换通常是默认的。请参阅包装文件

GSSAPI是一个用于执行安全网络应用程序的通用API。Kerberos是GSSAPI下最常用的驱动程序。

如果应用程序不使用GSSAPI或本地kerberos消息库，则可能使用TLS加密通信量或未加密通信量。

Kerberos消息加密被设计为支持相对长寿的基于tcp的客户机/服务器应用程序( telnet或ssh )。API并不总是很好地映射到当前应用程序的架构方式。Kerberos支持通常在应用程序正在构建后很好地被栓住，并且只用于身份验证。

Answer 2

Kerberos是一种分布式服务，通常只用于安全认证。它既不能确保用户拥有访问资源(即授权)所需的权限，但也可以用来加密任意数据。根据扩展和纠正RFC 3961“加密和校验规范”方面的RFC 1510，Kerberos协议提供了机密性和完整性服务。

虽然Kerberos可以用于加密通过身份验证的对等点之间传递的信息，但在许多情况下，它只执行身份验证步骤。因此，您将发现Kerberos被用作安全环境中的组件，以确保与处理授权和安全传输的其他组件和协议进行安全身份验证。

最后，这在很大程度上取决于您的usa案例，以确定使用Kerberos或其他什么作为传输协议之间的权衡是否对您有意义。

虽然Kerberos协议可用于在大多数平台上提供加密服务，但microsoft没有提供任何机制来执行此目录。相反，可以使用GSSAPI来调用这些服务。

例如，使用Kerberos实现消息完整性。

类似地，您可以使用例如TLS或IPsec对连接上的数据进行加密，并将其与Kerberos结合起来进行身份验证。但是，这还是执行实际传输加密的另一个协议，只使用Kerberos作为身份验证组件。