Microsoft Kerberos

Kerberos 协议定义客户端如何与网络身份验证服务交互。 客户端从 Kerberos 密钥分发中心 (KDC) 获取票证,并在建立连接时向服务器出示这些票证。 Kerberos 票证表示客户端的网络 凭据

本节中的信息提供了有关在身份验证过程中使用 Kerberos 协议的理论背景。 这是一个背景信息,可以增加开发人员对使用 Kerberos 版本 5 协议的 SSPI 进程中幕后发生的情况的理解。

Kerberos 身份验证协议提供了一种机制,用于在建立安全网络连接之前在实体之间进行相互身份验证。 在本文档中,这两个实体称为客户端和服务器,即使可以在服务器之间建立安全网络连接。 客户端和服务器也可以称为 安全主体

Kerberos 协议假定客户端和服务器之间的事务发生在开放网络上,其中大多数客户端和许多服务器在物理上不安全,可以任意监视和修改沿网络传输的数据包。 假设的环境类似于当今的 Internet,攻击者可以轻松地冒充客户端或服务器,并且很容易窃听或篡改合法客户端和服务器之间的通信。

本节内容提供以下信息:

应用程序不应直接访问 Kerberos 安全包 ;相反,它应使用 Negotiate 安全包。 协商允许应用程序利用更高级的 安全协议 (如果身份验证所涉及的系统支持这些协议)。 目前,协商安全包在 Kerberos 和 NTLM 之间进行选择。 协商选择 Kerberos,除非它不能由身份验证所涉及的系统之一使用。