Kerberos认证

Kerberos 認証

Kerberos （譯注：這是古希臘神話裡的一條多頭狗。）是一種適用於在公共網路上進行分布計算的工業標準的安全認証系統。

如何獲得

Kerberos 認証系統不是隨著 Postgres 發布的。Kerberos 的各種版本通常是作業系統中的一個可選的軟件包。另外，可以從 MIT(美國麻省理工學院) 雅典娜計劃 處獲得源碼。

注意：即使你的作業系統供應商給你提供了一個版本，你可能還是要從 MIT 拿一個版本，因為有些供應商的版本是經過有意的弱化的或者和 MIT 版本不能互操作。

在美國和加拿大以外的地區的用戶需要知道發布版裡Kerberos 的實際程式碼是受到美國政府出口法規約束的版本。

有關你的 Kerberos 的問題應該向你的供應商或 MIT 雅典娜計劃 詢問。

   Kerberos 安全提供程式與一個上線密鑰分發中心 (KDC) 和 Active Directory 帳戶儲存區相連，

以獲得工作階段票據。

     在最初連結訊息出現時，Kerberos 工作階段票據就傳送到遠端服務。工作階段票據的某些部分，在服

務和 KDC 間使用資源分享密碼進行了加密。伺服器依照工作階段票據，可以很快驗證客戶的身份，而無

需透過身份驗證服務。這是因為伺服器 Kerberos 執行階段擁有伺服器密鑰的快取記憶體副本。在伺服

器端建立工作階段結合要比 NTLM 身份驗證快得多。使用 NTLM，在建立連結的過程中，伺服器將獲得

使用者憑據，然後透過網域控制器重新驗證使用者的身份。

     Kerberos 工作階段票據包含一個由 KDC 建立的唯一工作階段密鑰，用於身份驗證資訊及客戶與伺

服器間傳輸資料的對稱加密。在 Kerberos 模式中，KDC 作為一個連線時可信協力廠商，產生工作階段

密鑰。對於類似校園網環境中的分散式應用程式服務，連線身份驗證服務非常有效。

 Kerberos工作原理圖解:

Kerberos跨網域工作原理圖解

Kerberos與NTLM工作原理圖解比較

Kerberos與NTLM信任關係原理圖解比較信任關係