iT邦幫忙

1

Kerberos

https://ithelp.ithome.com.tw/upload/images/20210122/20132160tVWHvKAd4R.png
-Kerberos操作(來源:Fulvio Ricciardi
根據CISSP官方學習指南,識別是“一個對象自稱身份和責任的過程。”

Kerberos是用於驗證主體身份的協議。在Kerberos V4和更早的版本中,身份驗證不需要密碼。用戶的身份將對用戶進行身份驗證。在Kerberos V5中,引入了預身份驗證以擴展協議。
身份驗證是“在顯示身份時確認實體的身份”(NIST SP 800-32),或“通常是允許用戶訪問信息中的資源的前提條件,即驗證用戶,過程或設備的身份。系統”(FIPS 200)。

該TGT(票證授予票證),如果認證成功頒發給客戶端。

5個為什麼技術
. 問:為什麼客戶端將用戶的身份提交到身份驗證服務器(AS)?
答:供服務器從目錄中識別主題。
. 問:為什麼AS服務器識別主題?
答:通過驗證時間戳來驗證主題。
. 問:為什麼AS服務器對主題進行身份驗證?
答:通過頒發TGT(授予票證的票證)來聲明受試者的身份。
. 問:AS服務器為什麼要斷言主體的身份?
答:供客戶索取服務票。

https://ithelp.ithome.com.tw/upload/images/20210122/20132160KchReHJv6z.png
-使用Kerberos進行身份驗證(來源:OMAL PERERA

預認證(Pre-Authentication)
在Kerberos的早期版本(v4和更早版本)中,身份驗證不需要密碼。一個簡單的有效用戶名將對用戶進行身份驗證。在Kerberos v5中,需要密碼。這稱為預身份驗證。可以禁用預身份驗證,以便為舊的Kerberos v4庫和Unix應用程序等提供向後兼容性。
警告:禁用預身份驗證會嚴重降低安全性。
資料來源:蓋爾·奧爾森(Geir Olsen

參考
. Kerberos
. Kerberos簡化
. Kerberos(協議)
. Kerberos預認證
. Kerberos網絡身份驗證服務(RFC 4120)
. Kerberos預身份驗證的通用框架(RFC 6113)
. Kerberos操作

資料來源: Wentz Wu QOTD-20210109


尚未有邦友留言

立即登入留言