目录
此文已在公众号发表,搜索公众号:谢公子学安全 或 xie_sec 即可查看本文
Kerberos认证方式
Kerberos是由麻省理工学院提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。Kerberos协议有两个基础认证模块:AS_REQ & AS_REP 和 TGS_REQ & TGS_REP ,以及微软扩展的两个认证模块S4U 和 PAC 。
- S4U是微软为了实现委派而扩展的模块,分为 S4U2Self 和 S4U2Proxy 。
- 在Kerberos最初设计的流程里说明了如何证明客户端的真实身份,但是并没有说明客户端是否有权限访问该服务,因为在域中不同权限的用户能够访问的资源是不同的。所以微软为了解决权限这个问题,引入了 PAC (Privilege Attribute Certificate,特权属性证书)