异度部落格

学习是一种生活态度。

0%

Kerberos认证流程

Posted on In

术语解释

  • AD: Active Directory。
  • Service Session Key: 服务会话密钥。
  • Logon Session Key: 登录会话密钥。
  • KDC: Key Distribution Center。
  • KAS: Key Kerberos Authentication Service。它是 KDC 的一个服务。
  • TGS: Ticket Granting Service;它是 KDC 的一个服务。
  • Service Ticket: 服务票据,通过 TGS 获取,主要包括用户信息与 Service Session Key。
  • TGT: Ticket Granting Ticket。通过 KAS 获取,主要包括用户信息与 Logon Session Key。
  • Authenticator: 交互双方预先知晓的信息,通过它来对对方做认证。

KDC 整体结构图

f211a61aa6562d3e013345cfbfced73e.jpg

Kerberos 认证的流程

  1. 客户端通过 KDC 的 KAS 服务获取 TGT。
  2. 通过 TGT 获取 Service Ticket。
  3. 通过 Service Ticket 访问服务资源 。

Client 与 Server 之间的消息交互

  1. 客户端发送消息到 KDC 的 KAS 服务一获取 TGT f8fa180d291d0565ff69fe7366cb569e.jpg
  2. KAS 发送信息到 Client 9be76573f94944dd2a59ad3bd838afa7.jpg
  3. 客户端发送消息到 KDC(Key Distribution Center)的 TGS(Ticket Granting Service)服务一获取 ST(Service Ticket) a87493a61a11c90c157a13010298288f.jpg
  4. TGS 服务返回消息给客户端 32a73a40855355657a004489aa958883.jpg
  5. 客户端通过 ST 访问服务器资源 bdca1c145075a7b1438d7a92b3b2542d.jpg
  6. 客户端对服务器的认证 7c5e6d20ec15393f57d83abdcfb9b305.jpg