Kerberos V5 工作原理

 

Kerberos V5 身份验证机制颁发用于访问网络服务的票证。这些票证包含能够向请求的服务确认用户身份的经过加密的数据，其中包括加密的密码。除了输入密码或智能卡凭据，整个身份验证过程对用户都是不可见的。

Kerberos V5 中的一项重要服务是密钥分发中心 (KDC)。KDC 作为 Active Directory 目录服务的一部分在每个域控制器上运行，它存储了所有客户端密码和其他帐户信息。

Kerberos V5 身份验证过程按如下方式工作：

1.	客户端系统上的用户使用密码或智能卡向 KDC 进行身份验证。
2.	KDC 向此客户端颁发一个特别的授权票证。客户端系统使用该 TGT 访问授票服务 (TGS)，这是域控制器上的 Kerberos V5 身份验证机制的一部分。
3.	TGS 接着向客户端颁发服务票证。
4.	客户端向所请求的网络服务出示服务票证。服务票证向此服务证明用户的身份，同时也向该用户证明服务的身份。

Kerberos V5 服务安装在每个域控制器上，并且 Kerberos 客户端则安装在每个工作站和服务器上。

每个域控制器作为 KDC 使用。客户端使用域名服务 (DNS) 定位最近的可用域控制器。域控制器在用户登录会话中作为该用户的首选 KDC 运行。如果首选 KDC 不可用，系统将定位备用的 KDC 来提供身份验证。