公钥是否使Kerberos更安全(RFC4556)？

Question

我们使用IPA来集中身份验证，我找到了为每个用户添加一个公钥的选项。在做了一些研究之后，我发现这是对Kerberos 5，RFC4556的扩展。

根据我对Kerberos工作方式的理解，它实际上并不发送密码。所以我想知道:公钥如何增加Kerberos的安全性？是我该用的东西吗？

顺便提一句:我们办公室里有一些Mac用户，不幸的是，pkinit不见了。除了苹果邮件列表上的这个职位说“我们强烈建议不要将它用于任何目的”之外，我还没有找到太多的原因。这是因为RFC4556的安全性，还是平台如何使用该协议的安全性？

Answer 1

来自RFC4556：

在AS exchange中，KDC回复包含票证会话密钥以及其他项，该密钥使用客户端和KDC之间共享的密钥( AS reply key )加密。AS应答键通常是从客户端的用户密码派生出来的。因此，对于人类用户来说，Kerberos协议的抗攻击强度并不比密码强。

因此，PKI扩展应该提高这种初始认证服务交换的安全性。