Kerberos身份验证技术参考(原文译)

平时看的资料不少，可是第一次做技术性翻译，如果翻译有误请见谅。原文http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/en-us/Default.asp?url=/Resources/Documentation/windowsserv/2003/all/techref/en-us/W2K3TR_kerb_intro.asp

因为时间关系，我会慢慢贴上来的。

Kerberos身份验证技术参考

前言

Microsoft Windows Server 2003操作系统上实现了Kerberos5身份验证协议。Windows　Server2003总是使用扩展公钥身份验证机制。KerBeros身份验证客户端作为SSP⑴（Security Support Provider）通过访问SSPI⑵（Security Support Provider Interface）来实现身份验证。用户身份验证初始化过程被集成在Winlogon⑶这SSO⑷（Single Sign-On）体系中。

什么是Kerberos身份验证。Kerberos密钥颁发中心（KDC）被集成在其他做为Windows Server 20003安全服务运行的域控制器上⑸（Domain Controller）。KDC使用域活动目录⑹（Active Directory）服务数据库做为它安全帐号数据库。Kerberos是活动目录默认的身份验证协议。

本文将说明什么是Kerberos身份验证以及Windows Server2003对Kerberos5协议和Kerberos5扩展的支持。

第一章节　什么是Kerberos身份验证

 

第二章节　Kerberos5协议验证原理

 

第三章节　Kerberos身份验证工具及相应设置

什么是Kerberos身份验证技术

本章重点

Kerberos身份验证的优势

Kerberos5协议标准

扩展至Kerberos5协议的支持

Kerberos身份验证技术叙述

Kerberos5身份验证的依赖性

Kerberos版本5身份验证协议提供了一种相互验证（通过服务器和客户端相互验证或者一台服务与其他服务器之间相互验证）的身份验证机制。

Windows Server2003做为SSP实现Kerberos5协议，它能通过对SSPI的访问来实现Kerberos5身份验证的过程。另外，Windows Server2003现实了对该协议的扩展，它允许使用公钥证书或智能卡来初始验证的过程。

Kerberos的密钥颁发中心使用域活动目录服务数据库做为它的安全帐号数据库。活动目录默认必需通过NTLM或者Kerberos协议来实现身份验证。

Kerberos5协议假设客户端和服务器之间的初始身份验证在一个开放式的网络进行，此时通过网络被传输的数据包将能被监测以及随意修改。这是一个被虚拟的环境，可是换句话说，当今Internet上可能有许多这样的例子，一名攻击者能够伪装成其他的客户端或者服务器，偷听二台合法且正常在通信的服务器和客户端之间数据传输，甚至于篡改他们之间传输的数据。

Microsoft所现实的Kerberos协议是：

Kerberos协议是Windows Server2003使用默认身份验证。

在Windows2000中Kerberos5协议变成系统默认的身份验证协议。在Windows Server2003中依然提供对非Kerberos协议客户端诸如Windows NT Server4.0操作系统的NTLM协议支持。

   基于RFC15510和其修订草案：

Kerberos是开放式的、非常成熟的、健壮的且已经被广泛使用的身份验证协议。Microsoft所实现的Kerberos5协议是遵守RFC标准的，因而所提供了跟其他基于Kerberos认证系统的互用性及协同性。

   可扩展性:

Kerberos系体允许你去额外指定或者替换安全方法。同样，它默认的共享安全密钥处理能被通过一对公/私密钥或者智能卡得到补充。

 

Kerberos身份验证的优势

Kerberos5协议比NTLM协议更安全可靠，更灵活，更有效。它的优势比标准Kerberos协议更进一步提高。

 

委派验证:

当访问的资源是客户端自己所拥有的时候，Windows服务将模拟成一个客户端。在许多情况下，一个服务成功完成了它的工作因为客户端访问资源在本地计算机上。NTLM和Kerberos5协议两者都提供服务必需模拟成本地客户端的信息。可是一些分布式应用程序被这样设计所以前端服务必需模拟成客户端，当前端服务连接到其他计算机上的后端服务时。Kerberos5协议包含了代理机制，当需要连接到其他服务时，它允许服务去模拟它的客户端。这点它不同于NTLM协议(换句话说NTLM协议不允许服务模拟成它的客户端去连接远程计算机上的后端服务)。

 

与其它基于Kerberos协议系统的协同性:

Microsoft Kerberos5协议的实现是基于标准之上的，它被推荐至IETF(Internet Engineer Task Force)。所以，微软所现实的Kerberos5协议在Windows Server2003基础层中和其他网络服务互相协同工作，因此Kerberos5协议也被作为他们的身份验证协议。

   对服务器比较有效身份验证

在NTLM身份验系统中，应用程序服务器为了验证每一个客户端身份必需连接到域控制器。而在基于Kerberos协议的身份验证系统中，在另一方面，服务器并不是必需去寻找域控制器。代替为服务器本身能够通过检查客户端上的凭证来验证客户端的身份。客户端能够在一台特别的服务器处获得一次凭证，然后通过网络登陆会话重复使用那些凭证。可更新的会话票据取代已经通过的验证。更多关于可更新的会话票据是什么和它如何工作，请看“Kerberos5身份验证协议工作方式”这一章。