关于kerberos,不是很懂,看到csdn上有个大神,深入浅出的讲解了一下,没有看完,但是感觉应该有了这个文章,足够解决kerberos的问题了。地址如下:
https://blog.csdn.net/wulantian/article/details/42418231#comments
但是就cissp来说,kerberos只是实施身份管理中的一小部分知识,研究的也不是很深入。下面来介绍一下kerberos
Kerberos:是一个采用第三方来进行实体身份认证的票证系统,也是最为常用的认证系统。主要依赖对称加密里的高级加密标准(AES)协议。
理解kerberos的工作,需要先了解几个概念:
秘钥分发中心:(key distribution center KDC)KDC是提供身份认证的第三方,是kerberos的核心。
Kerberos身份验证服务器:托管kerberos服务器的KDC的功能。功能主要分为两部分:票据授予服务(TGS ticket grant service )和身份认证服务(AS authentication service )
授权票证 TGT(ticket grant ticket )通过KDC提供主体认证的证明
票据 票据是加密的信息,也叫做服务票据(service ticket)
Kerberos 登陆过程:
- 用户输入用户名密码输入客户端
- 客户端使用AES加密用户名密码,然后传送至KDC
- KDC使用已有证书的数据库来认证用户名
- KDC产生一个同步秘钥,用于客户端和kerberos服务器之间的通信。它加密用户名和密码的散列值。KDC也生成了一个有加密时间戳的TGT
- KDC传输加密过的同步秘钥和带有时间戳的TGT给客户端
- 客户端安装TGT,直至使用期满。客户端也使用用户的散列解密对称秘钥
客户端访问网络上的对象过程:
- 客户端将TGT发送会KDC,同时请求访问某个服务器或服务。
- KDC认证TGT的有效性并查看其访问矩阵,认证用户可访问的权限
- KDC生成一个服务票据,然后将它发送至客户端
- 客户端发送票据至服务器或主机
- 服务器或主机通过KDC验证有效性
- 一旦认证成功,kerberos活动完成,从而开始进行通信或数据传输。