Microsoft Kerberos (英文)
Kerberos 通訊協定會定義用戶端如何與網路驗證服務互動。 用戶端從 Kerberos 金鑰發佈中心 (KDC) 取得票證,並在建立連線時將這些票證呈交給伺服器。 Kerberos 票證代表用戶端的網路 認證。
本節中的資訊提供在驗證程式中使用 Kerberos 通訊協定的理論背景。 這是背景資訊,可新增至開發人員對於使用 Kerberos 第 5 版通訊協定之 SSPI 程式中幕後發生狀況的瞭解。
Kerberos 驗證通訊協定會在建立安全網路連線之前,提供實體之間相互驗證的機制。 在本檔中,這兩個實體稱為用戶端和伺服器,即使可以在伺服器之間建立安全網路連線也一樣。 用戶端和伺服器也可以稱為 安全性主體。
Kerberos 通訊協定假設用戶端和伺服器之間的交易會在開啟的網路上進行,其中大部分用戶端和許多伺服器實際上都不安全,而且可以監視和修改沿著網路移動的封包。 假設的環境就像現今的網際網路一樣,攻擊者可以輕鬆地以用戶端或伺服器身分提出,而且可以輕鬆地竊聽或竄改合法用戶端與伺服器之間的通訊。
本節提供下列資訊:
您的應用程式不應該直接存取 Kerberos 安全性套件 ;相反地,它應該使用 交涉 安全性套件。 交涉可讓您的應用程式在驗證所涉及的系統支援時,利用更進階 的安全性通訊協定 。 目前,交涉安全性套件會在 Kerberos 與 NTLM 之間選取。 交涉會選取 Kerberos,除非其中一個涉及驗證的系統使用 Kerberos。