版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/IUNIQUE/article/details/85029083
一、核心术语
1、KDC:key distributed center ,整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS
2、AS:Authentication service,认证服务,为client生成TGT的服务
3、TGS:Ticket granting service,ticket生成服务,为client生成某个服务的ticket
4、TGT:Ticket-granting ticket ,用于获取ticket的票据
5、AD:Account database,存储所有client的白名单,只有存在于白名单的client才能顺利申请到TGT
二、认证流程
总体认证流程分为三步,client到AS;client到TGS;client到server
1、client向kerberos服务请求,希望获取访问server的权限。kerberos得到了这个消息,首先得判断client是否是可信赖的,也就是白名单黑名单的说法。这就是AS服务完成的工作,通过在AD中存储黑名单和白名单来区分client。成功后,返回AS返回TGT给client。
2、client得到了TGT后,继续向kerberos请求,希望获取访问server的权限。kerberos又得到了这个消息,这时候通过client消息中的TGT,判断出了client拥有了这个权限,给了client访问server的权限ticket。
3、client得到ticket后,终于可以成功访问server。这个ticket只是针对这个server,其他server需要像TGS申请。
整个过程的通信都是加密的,这里设计到两层加密,因为所有的认证都是通过client,也就是说kerberos没有和server直接交互,这样的原因是kerberos并不知道server的状态,也无法保证同时和server,client之间通信的顺序,由client转发可以让client保证流程顺序。
第一层加密,kerberos对发给server数据的加密,防止client得到这些信息篡改。
第二层加密,kerberos对发给client数据的加密,防止其他网络监听者得到这些信息。