關於kerberos,不是很懂,看到csdn上有個大神,深入淺出的講解了一下,沒有看完,但是感覺應該有了這個文章,足夠解決kerberos的問題了。地址如下:
https://blog.csdn.net/wulantian/article/details/42418231#comments
但是就cissp來說,kerberos只是實施身份管理中的一小部分知識,研究的也不是很深入。下面來介紹一下kerberos
Kerberos:是一個採用第三方來進行實體身份認證的票證系統,也是最爲常用的認證系統。主要依賴對稱加密裏的高級加密標準(AES)協議。
理解kerberos的工作,需要先了解幾個概念:
祕鑰分發中心:(key distribution center KDC)KDC是提供身份認證的第三方,是kerberos的核心。
Kerberos身份驗證服務器:託管kerberos服務器的KDC的功能。功能主要分爲兩部分:票據授予服務(TGS ticket grant service )和身份認證服務(AS authentication service )
授權票證 TGT(ticket grant ticket )通過KDC提供主體認證的證明
票據 票據是加密的信息,也叫做服務票據(service ticket)
Kerberos 登陸過程:
- 用戶輸入用戶名密碼輸入客戶端
- 客戶端使用AES加密用戶名密碼,然後傳送至KDC
- KDC使用已有證書的數據庫來認證用戶名
- KDC產生一個同步祕鑰,用於客戶端和kerberos服務器之間的通信。它加密用戶名和密碼的散列值。KDC也生成了一個有加密時間戳的TGT
- KDC傳輸加密過的同步祕鑰和帶有時間戳的TGT給客戶端
- 客戶端安裝TGT,直至使用期滿。客戶端也使用用戶的散列解密對稱祕鑰
客戶端訪問網絡上的對象過程:
- 客戶端將TGT發送會KDC,同時請求訪問某個服務器或服務。
- KDC認證TGT的有效性並查看其訪問矩陣,認證用戶可訪問的權限
- KDC生成一個服務票據,然後將它發送至客戶端
- 客戶端發送票據至服務器或主機
- 服務器或主機通過KDC驗證有效性
- 一旦認證成功,kerberos活動完成,從而開始進行通信或數據傳輸。