一、Kerberos Concept
Kerberos是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务,为通信双方提供双向身份认证。
Kerberos关键术语:
KDC提供两大主要功能:认证服务器(Authentication Service,AS)和票据授权服务(Ticket Granting Service,TGS)。AS负责对用户和服务进行认证,TGS负责生成由时效的密码消息组成的票据。票据用于客户端向服务器进行认证。
通信双方成为标识(Principal),每一方在KDC中定义一个标识。每一方与KDC共享密钥。密码可以在KDC中本地存储,但是最好可以存储在LDAP中。
每一个KDC与一个领域(realm)关联,领域与Windows中术语域(domain)相当。在一个KDC中定义的标识属于同一个领域。在网络中可能存在多个KDC,也就存在多个领域。
在多个领域的场景,只要两个领域建立了信任,一个客户端如果通过了一个领域的认证,也可以连接另外一个领域的服务器。
二、Kerberos Server
三、Kerberos Client
四、Kerberos High Availability
五、Summary