Kerberos认证流程图:
图1:
图2:
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1) 服务器 “ticket” ; 2) 一个临时加密密钥(又称为会话密钥 “session key”) 。客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
其总结如下:
1.客户机向服务(AS)器发送认证请求(用户名和密码)
2.服务器TGS向客户机回应一个会话密钥,密钥包括:一个服务器票据(Ticket)+ 一个临时加密密钥
3.客户机将会话密钥copy一个副本与服务器认证(认证时由系统去访问后台只读方式访问 Kerberos 数据库进行密钥对比)
4.认证成功客户机与服务器建立登录会话