Понимание идиомы для входа в Kerberos и пароля для Kerberos

Я имею дело с керберизованными подключениями к базам данных. Думаю, я понимаю основы керберизации. Пользователь запрашивает часть «Сервер аутентификации» KDC для получения TGT (Ticket Granting ticket), а затем, когда пользователю необходимо получить доступ к службе, которая требует от пользователя аутентификации, пользователь отправляет TGT в другую часть KDC, которая предоставляет "служебный билет" после проверки того, что пользователю разрешен доступ к службе. Затем пользователь пересылает этот «Сервисный билет» на сервер и получает услугу.

Я также слышал об идомах «логин Kerberos» и «пароль Kerberos». Я не совсем понимаю, что именно они означают и к чему относятся?

Любые указатели, пожалуйста?

Спасибо,


authentication database kerberos ldap
person xyz    schedule 21.01.2011    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Сначала вам нужен другой термин: «Принципал Kerberos». Можно сказать, что это «полное имя для входа». Если вы используете пароли для аутентификации (а не что-то более безопасное, например смарт-карты), ваш «Пароль Kerberos» - это пароль, используемый для аутентификации вашего принципала Kerberos.

Оба используются для аутентификации пользователя на AS = Authentication Server (пароль, конечно, никогда не отправляется в открытом виде!). Если аутентификация разрешена, пользователь получает сеансовый ключ.

Затем сеансовый ключ используется для запроса TGT - вы пропустили этап аутентификации в своей сводке. Сервер аутентификации никогда ничего не будет обрабатывать о TGT, для этого и предназначена служба выдачи билетов. (Даже если оба реализованы на одной машине, они все равно являются независимыми службами.)

На самом деле все не так уж и сложно; это в основном терминология.

Для начала прочтите статью в Википедии о Kerberos или взгляните на некоторые диаграммы как этот или this. Для справки вы можете прочитать Учебное пособие по Kerberos. (Также может представлять интерес Проектирование системы аутентификации: диалог в четырех сценах, в котором объясняется обоснование Kerberos и "Руководство для идиотов по Kerberos" Брайана Тунга а>.)

Я надеюсь, что это ответит на все - если нет, перефразируйте / обновите свой вопрос.

person foo    schedule 21.01.2011
comment
Принципал - это просто то, что может быть аутентифицировано. Это может быть пользователь, но также может быть компьютер или служба. - person Gabe; 21.01.2011
comment
Правильный. Принципал - это все, чья личность может быть проверена, названная в определенной нотации. Есть много способов выполнить аутентификацию, пароли - лишь один (и худший) способ сделать это. Я упростил это, потому что это, кажется, вопрос новичков. - person foo; 21.01.2011