简述Kerberos认证原理
1、登陆时,客户机请求允许获取服务票证的TGT(票证授权票证);KDC(密钥分发中心)检查数据库,发送TGT;客户机使用口令解密TGT,进而提供标识,同时开始Kerberos会话。
2、客户端请求服务端票证,向KDC发送TGT作为标识证明,KDC想客户端发送服务端票证;客户端向服务端发送票证;服务端允许客户端访问。
第一阶段:客户机会从KDC获取允许其获取服务票证的TGT,同时开始Kerberos会话。
第二阶段:客户机将第一阶段获取到的TGT发送给KDC,同时告诉KDC他想获取那个服务的票证,KDC会验证客户机发送的TGT,如果该TGT是合法的,则会将服务器票证发送给客户机,然后客户机使用KDC发回的服务器票证向服务器进行验证,同时服务器也发送客户端发过来的TGT向KDC进行验证,如果验证成功,则会允许客户机进行登录并操作。对客户机的TGT发将此处的服务器可以是Kerberos的不同服务了,如ftp,telnet等