![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(291.2, 94%, 38%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
kerberos认证时,客户端会将时间戳使用用户的明文密码加密,数据传送到kerberos服务端时,AD的kerberos服务端如何使用AD中的不可逆密码解密客户端信息,并在之后使用密码明文去加密响应给客户端的信息
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(278.4, 92%, 36%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EYL%3C/text%3E%3C/svg%3E)
您好,
感谢您在 Q&A 论坛中发帖。
Kerberos认证过程中不会直接使用用户的密码。相反,它会在AS阶段使用用户的密码生成的密钥来加密信息包,并发送给DC。DC收到后,使用存储的密码生成密钥来解密。之后,DC会将临时密钥放入信息包中,并用之前的密钥加密后发送给客户端。此后,客户端和服务器之间的通信将使用这个临时密钥。
如需了解更多细节,请参考:[MS-KILE]:Kerberos 网络身份验证服务 (V5) 概要 |Microsoft 学习
=====================================
如果答案有帮助,请点击“接受答案”并投赞成票
用户向AD请求认证,kerberos服务器应该是在DC中的。我理解你的回答密码在kerberos服务器和DC中都有一份,你的回答中DC是作为kerberos认证的客户端,是指用户向DC请求认证,DC又向kerberos服务器请求认证吗
我现在的困惑是AD中的密码是不可逆加密存储的,用户使用明文密码请求认证,在kerberos服务使用AD加密后的密钥再次加密响应信息,传输到客户端后,用户使用明文密码不就无法解密用不可逆密钥加密的kerberos响应吗。是否是用户向DC请求,DC使用AD算法加密明文密码后,再向kerberos服务器请求的流程
