Kerberos认证流程
开篇之前郑重申明:本文是基于Artech 所介绍的Kerberos认证的来谈谈个人对Kerberos认证流程以及消息交互理解。如果您想深入了解,请点击此处。如有理解不当的地方,还望赐教。
先介绍Kerberos中的几个概念:
1、KDC整体结构图
2、Kerberos认证的流程:
流程说明:
- 客户端通过KDC(Key Distribution Center)的KAS(Kerberos Authentication Service )服务获取TGT(Ticket Granting Ticket)。
- 通过TGT获取ST(Service Ticket)
- 通过Service Ticket访问服务资源 。
3、Client 与Server 之间的消息交互
1、客户端发送消息到KDC的KAS服务一获取TGT。
此消息交互如下图:
说明:客户端发送自己的明文用户名、以及由自己密码派生的密钥加密后的Authenticator到KAS服务
KAS接收到客户端发送过来的消息后处理流程如下:
2、KAS 发送信息到Client
此过程消息交互如下图:
客户端接受到KAS的回复后做做如下流程处理:
3、客户端发送消息到KDC(Key Distribution Center)的TGS(Ticket Granting Service)服务一获取ST(Service Ticket)
此过程消息交互如下图:
此过程中TGS(Ticket Granting Service)对接收到的消息处理流程如下:
4、TGS服务返回消息给客户端
此过程消息交互如下图:
客户端接受到TGS回复后会有如下流程处理:
5、客户端通过ST访问服务器资源
此过程消息交互如下图:
服务端接收到客户端的消息以后会有如下流程处理:
6客户端对服务器的认证
此过程消息交互如下图:
客户端对服务端的认证流程如下: