什麼是Kerberos v5 安全性通訊協定?定義、運作方式
網路百科全書中 Kerberos v5 安全通訊協定的定義。
什麼是 Kerberos v5 安全協定?
Kerberos 通訊協定是一種安全驗證使用者存取網路上服務的要求的方法。它由麻省理工學院 (MIT) 開發,基於數據加密標準 (DES)。
Kerberos 是 Microsoft Windows 2000 網域的主要安全性通訊協定,網域控制站會用來驗證使用者的身分識別,以及會話期間的資料完整性。Kerberos 也已在包括 OpenBSD 在內的多個 UNIX 平台上實現。
怎麼運作的
Kerberos 會使用票證型方法來授與使用者對網路服務的存取權。當已啟用 Kerberos 的用戶端想要從已啟用 Kerberos 的伺服器要求網路服務 (例如網路登入) 時,用戶端必須先連絡驗證伺服器 (AS) 以接收票證和加密金鑰。
加密金鑰稱為會話金鑰,用於解除鎖定用戶端與伺服器之間的通訊,從而驗證該通訊。初始票證通常稱為票證授予票證 (TGT),包含會話金鑰的副本和身分,這是隨機產生的號碼。AS 會將 TGT 和身分傳遞回用戶端,用戶端會將票證儲存在其票證快取中。當用戶端想要存取特定服務時,它會將票證傳送至票證授與伺服器 (TGS)。(TGS 和 AS 通常是同一台機器。
TGS 會為用戶端提供票證,以安全地識別用戶端至其所要求的服務。最後,用戶端會將票證呈現給它嘗試存取的網路服務,並視需要多次授與資源的存取權,直到票證到期為止。當用戶端傳送票證時,票證一律會隨附使用工作階段金鑰加密的鑑別器訊息。此驗證器包含時間戳記,用於確保票證合法。
Kerberos 通訊協定會定義用戶端必須採取的步驟,才能存取網路服務或資源。
在 Kerberos 的 Windows 2000 實作中,每個網域控制站都有執行 Kerberos v5 服務,而且 Kerberos 用戶端內建於執行 Windows 2000 的每部伺服器和工作站中。Kerberos 服務會在 Active Directory 中維護加密的使用者密碼和身分識別。當使用者登入網域控制站時,初始 Kerberos 驗證可讓使用者存取企業中任何位置的可用資源,因為網域樹狀結構或網域樹系內的所有網域都會接受一個網域的 Kerberos 服務所發出的驗證認證。
當使用者登入 Windows 2000 工作站時,Kerberos 服務會發出登入網域的初始票證。然後,任何執行 Windows 2000 的伺服器都可以驗證用戶端的票證,而不需要連絡網域 Kerberos 服務。它可以這樣做,因為執行 Windows 2000 的伺服器會共用 Kerberos 服務用來加密票證的加密金鑰。此加密金鑰稱為伺服器金鑰。
如果一個網域中的 Windows 2000 用戶端要求存取屬於相同網域樹狀結構或樹系的遠端網域中資源,本機網域中的 Kerberos 服務會發出轉介票證,用戶端會呈現給遠端網域中的 Kerberos 服務。然後,遠端網域中的 Kerberos 服務會發出對自己的網域有效的起始票證,並識別網域。使用此通行證,用戶端接著可以存取遠端網域中的資源。
Windows 2000 中 Kerberos 的實作是符合要求註解 (RFC) 1510 的業界標準版本。
Kerberos 驗證的一些優點包括:
網域之間的雙向可轉移信任
驗證工作階段期間用戶端和伺服器的相互驗證
多層用戶端/伺服器互動的委派驗證
