![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(291.2, 94%, 38%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
1,069 个问题
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(35.2, 9%, 13%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EWL%3C/text%3E%3C/svg%3E)
您好,
在Active Directory (AD) 中,Kerberos认证过程中涉及到的密码加密和解密确实是一个复杂的过程。以下是对你问题的详细解答:
LSA如何知道加密算法:
在客户端,Local Security Authority (LSA) 使用用户的密码来生成Kerberos票据。LSA会根据AD中的配置来确定使用哪种加密算法。具体来说,AD中的用户账户有一个属性叫做msDS-SupportedEncryptionTypes,这个属性定义了该账户支持的加密类型。LSA会读取这个属性并使用相应的加密算法来处理密码。
不可逆加密的处理:
AD中的密码通常是以不可逆的方式存储的(例如使用哈希算法)。在Kerberos认证的AS(Authentication Service)阶段,KDC(Key Distribution Center)会使用存储在AD中的密码哈希值来验证客户端发送的认证请求。客户端在发送请求时,会使用相同的加密算法对密码进行处理,以确保KDC能够正确解密和验证。
Kerberos和Digest Authentication的区别:
Digest Authentication和Kerberos认证在处理密码哈希方面有一些相似之处,但也有显著的区别。Digest Authentication会直接比较哈希值,而Kerberos认证则依赖于票据和密钥的加密解密过程。Kerberos不会直接比较密码哈希值,而是通过加密的票据来验证身份。
双重加密过程:
在Kerberos认证过程中,客户端确实需要知道AD使用的加密算法,以便正确地加密用户密码并生成认证请求。这个过程通常是透明的,因为客户端和KDC会协商使用的加密类型,并且这些类型在AD的配置中已经定义好了。
综上所述,LSA通过读取AD中的配置来确定使用的加密算法,并在Kerberos认证过程中使用相应的算法来处理密码。