Microsoft Kerberos (英文)

Kerberos 通訊協定會定義用戶端如何與網路驗證服務互動。 用戶端從 Kerberos 金鑰發佈中心 (KDC) 取得票證，並在建立連線時將這些票證呈交給伺服器。 Kerberos 票證代表用戶端的網路 認證。

本節中的資訊提供在驗證程式中使用 Kerberos 通訊協定的理論背景。 這是背景資訊，可新增至開發人員對於使用 Kerberos 第 5 版通訊協定之 SSPI 程式中幕後發生狀況的瞭解。

Kerberos 驗證通訊協定會在建立安全網路連線之前，提供實體之間相互驗證的機制。 在本檔中，這兩個實體稱為用戶端和伺服器，即使可以在伺服器之間建立安全網路連線也一樣。 用戶端和伺服器也可以稱為 安全性主體。

Kerberos 通訊協定假設用戶端和伺服器之間的交易會在開啟的網路上進行，其中大部分用戶端和許多伺服器實際上都不安全，而且可以監視和修改沿著網路移動的封包。 假設的環境就像現今的網際網路一樣，攻擊者可以輕鬆地以用戶端或伺服器身分提出，而且可以輕鬆地竊聽或竄改合法用戶端與伺服器之間的通訊。

本節提供下列資訊：

• 基本驗證概念
• Kerberos Subprotocols
• Kerberos 模型
• SSPI/Kerberos 與 GSSAPI 的互通性

您的應用程式不應該直接存取 Kerberos 安全性套件 ;相反地，它應該使用 交涉 安全性套件。 交涉可讓您的應用程式在驗證所涉及的系統支援時，利用更進階 的安全性通訊協定 。 目前，交涉安全性套件會在 Kerberos 與 NTLM 之間選取。 交涉會選取 Kerberos，除非其中一個涉及驗證的系統使用 Kerberos。