「打給賀，挖西飛飛，今天你要來點 Active Directory Security 嗎？」
以下將 Active Directory 簡稱為 AD

Windows domain 會將帳號密碼(憑證)儲存在 domain 伺服器， Windosws domain 如何進行驗證，分別有兩種協定用來驗證：

• Kerberos
• NetNTLM

Kerberos

Windows 預設身分驗證的協定，使用 Kerberos 協定登入服務的使用者可以取得票證(tickets)，tickets 視為身分驗證的證明，使用者可以對 service 展示 tickets 證明自己已經登入過。

前言

Kerberos 來自希臘神話看門狗，80年代 MIT 中 Athena 將發者的驗證協定取名為 Kerberos。

• Kerberos
  • 可信賴第三者提供驗證授權
  • 提供 SSO 單一登入

常見名詞

• Principals 原則
  • 原則是 Kerberos 可以分配 tickets 的對象或身分
    • 使用者、電腦、應用程式、服務
• KDC Key distribution center
  • 金鑰發布中心
  • 包含
    1. 資料庫
    2. 驗證伺服器
    3. 票證授予服務
• Tickets 票證
  • 票證是 Kerberos 驗證的基礎單位
  • 包含
    • 客戶端 ID
    • 客戶端網路位址
    • 票證有效期限
    • 工作 key
  • 票證類型
    • 登入成功取得的 TGT 受於使用者存取資源的權限
    • 服務票證 使用者端對伺服器的授權票證
• Realm 領域
  • 所有原則形成的完整驗證環境管轄區稱為領域