KDC
全称:key distributed center
作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGSAS
全称:authentication service
作用:为client生成TGT的服务TGS
全称:ticket granting service
作用:为client生成某个服务的ticketAD
全称:account database
作用:存储所有client的白名单,只有存在于白名单的client才能顺利申请到TGTTGT
全称:ticket-granting ticket
作用:用于获取ticket的票据client
想访问某个server的客户端server
提供某种业务的服务
认证流程
图1 kerberos认证流程
图1展示了kerberos的认证流程,总体分为3步。
client与AS交互
client与TGS交互
client与server交互
详细分析
kerberos为什么要采用3步交互的形式来完成安全认证,那就要从kerberos的使用场景说起。
相比kerberos,https可能更为熟悉一点,通过证书