Kerberos协议主要用于网络身份鉴别,该协议的特点是只要输入一次身份验证信息就可以访问多个服务,而且访问更加安全。其基本原理图如下所示:
该协议主要分为两大步骤。
第一步:Client获取TGT(ticket-grantingticket)
1.客户端输入身份信息向KDC(密钥分配中心)发送请求,KDC根据客户端发送的身份信息向Ticket granting service请求取得TGT。然后KDC采用其与请求Client约定的加密策略对TGT进行加密,将TGT发送到Client。
2. Client收到KDC响应后,使用约定的解密策略对反馈的TGT进行解密,得到TGT。
第二步:使用第一步得到TGT请求服务
1.Client将第一步取得的TGT与请求的服务发送给KDC服务器。KDC根据请求信息为Client和请求的Service直接生成一个