Kerberos工作原理

一、The Kerberos login process works as follows:

1. The user types a username and password into the client.

2. The client encrypts the username with AES for transmission to the KDC.

3. The KDC verifies the username against a database of known credentials.

4. The KDC generates a symmetric key that will be used by the client and the Kerberos server. It encrypts this with a hash of the user’s password. The KDC also generates an encrypted timestamped TGT.

5. The KDC then transmits the encrypted symmetric key and the encrypted timestamped TGT to the client.

6. The client installs the TGT for use until it expires. The client also decrypts the symmetric key using a hash of the user’s password.

一、Kerberos登錄過程的工作原理如下。

1. 用戶在客戶端輸入一個用戶名和密碼。

2. 客戶端用 AES 對用戶名進(jìn)行加密，以便傳輸?shù)?KDC。

3. KDC根據(jù)已知的證書數(shù)據(jù)庫來驗證用戶名。

4. KDC 產(chǎn)生一個對稱密鑰，供客戶和 Kerberos 服務(wù)器使用。服務(wù)器使用的對稱密鑰。它用用戶密碼的哈希值對它進(jìn)行加密。KDC 還會生成一個 加密的帶時間戳的 TGT。

5. 5. 然后，KDC 將加密的對稱密鑰和加密的帶時間戳的 TGT 傳遞給客戶。

6. 6. 客戶端安裝 TGT 以供使用，直至其過期。客戶端還使用用戶的哈希值對對稱密鑰進(jìn)行解密。

-----------------------------------------------------------------------------------------------------------------

Note that the client’s password is never transmitted over the network, but it is verified. The server encrypts a symmetric key using a hash of the user’s password, and it can only be decrypted with a hash of the user’s password. As long as the user enters the correct password, this step works. However, it fails if the user enters the incorrect password.

請注意，客戶的密碼永遠(yuǎn)不會在網(wǎng)絡(luò)上傳輸。但它是被驗證的。服務(wù)器使用用戶密碼的哈希值對對稱密鑰進(jìn)行加密。，并且只能用用戶密碼的哈希值來解密它。只要用戶輸入了正確的密碼，就會成功。但是，如果用戶輸入了錯誤的密碼，就會失敗。

-----------------------------------------------------------------------------------------------------------------

二、When a client wants to access an object, such as a resource hosted on the network, it must request a ticket through the Kerberos server. The following steps are involved in this process:

1. The client sends its TGT back to the KDC with a request for access to the resource.

2. The KDC verifies that the TGT is valid and checks its access control matrix to verify that the user has sufficient privileges to access the requested resource.

3. The KDC generates a service ticket and sends it to the client.

4. The client sends the ticket to the server or service hosting the resource.

5. The server or service hosting the resource verifies the validity of the ticket

with the KDC.

6. Once identity and authorization are verified, Kerberos activity is complete. The server or service host then opens a session with the client and begins communications or data transmission.

二、當(dāng)一個客戶想要訪問一個對象，比如網(wǎng)絡(luò)上的資源，它必須通過Kerberos服務(wù)器申請一個票據(jù)。在這個過程中涉及以下步驟。

1. 客戶端將其 TGT 發(fā)送回 KDC 并請求訪問該資源。

2. KDC 檢驗 TGT 是否有效，并檢查其訪問控制矩陣以驗證用戶有足夠的權(quán)限來訪問請求的資源。

3. KDC 生成一個服務(wù)票據(jù)并將其發(fā)送給客戶。

4. 客戶端將該票據(jù)發(fā)送給托管該資源的服務(wù)器或服務(wù)。

5. 托管資源的服務(wù)器或服務(wù)向 KDC 驗證票據(jù)的有效性。(與 KDC 進(jìn)行驗證。)

6. 一旦身份和授權(quán)得到驗證，Kerberos 活動就完成了。服務(wù)器或服務(wù)主機(jī)與客戶打開一個會話，并開始通信或數(shù)據(jù)傳輸。

三、練習(xí)題

1、利用kerberos身份驗證和授權(quán)的知識，以及圖來回答57-59。如果客戶機(jī)已經(jīng)向KDC進(jìn)行了身份驗證，那么當(dāng)客戶機(jī)工作站想要訪問資源時，會在A點向KDC發(fā)送什么？

A、它會重新發(fā)送密碼????????B、TGR????????C、它的TGT????????D、服務(wù)票

正確答案：C

答案解析：客戶端將現(xiàn)有的有效TGT發(fā)送給KDC，并請求訪問資源。

2、在步驟A和B之間發(fā)生了什么？

A、KDC驗證TGT的有效性以及用戶是否具有請求資源的正確權(quán)限。

B、KDC根據(jù)TGT中的數(shù)據(jù)更新其訪問控制列表。

C、KDC檢查其服務(wù)列表，并根據(jù)服務(wù)請求準(zhǔn)備更新的TGT。

D、KDC生成一個服務(wù)票據(jù)發(fā)送給客戶機(jī)。

正確答案：A

答案解析：KDC必須驗證TGT是否有效，以及用戶是否具有訪問其請求訪問的服務(wù)的權(quán)限。如果有，它將生成一個服務(wù)票據(jù)并將其發(fā)送給客戶端。（步驟B）

3、正在訪問的服務(wù)使用什么系統(tǒng)來驗證票據(jù)？

A、KDC????????????????????????????????????????????????????????????????????????B、客戶端工作站和KDC???????

C、客戶端使用客戶端/服務(wù)器票據(jù)以及驗證器??????????????D、KVS

正確答案：C

答案解析：客戶端使用一個客戶端/服務(wù)器的票證來授予服務(wù)。

4、服務(wù)票據(jù)（ST）在kerberos身份驗證中提供了什么？

A、它充當(dāng)身份驗證主機(jī)????????????B、它提供了主體被授權(quán)訪問客體的證據(jù)

C、它提供了主體通過KDC進(jìn)行身份驗證的證據(jù)，并且可以請求票據(jù)來訪問其它對象

D、它提供票據(jù)許可服務(wù)（TGS）

正確答案：B

答案解析：ST提供了主體被授權(quán)訪問客體的證據(jù)。TGS提供票據(jù)許可服務(wù)。