什么是 Kerberos 身份验证？

身份验证是向其他人证明自己的身份的过程。作为人，我们通过多种方式相互验证，例如我们在见面时识别每张不同的面孔，我们识别手机上的每一种不同的声音。身份验证协议将在小工具中的 2 个通信方运行其他协议之前运行。身份验证协议首先建立了双方对彼此的快感的识别；最好在身份验证后将事件归结为手头的工作。它是安全网络环境的基本组成部分。

Kerberos 是一种在 MIT 演化而来的网络身份验证协议，它使用一种称为对称密钥加密的加密技术和一个密钥分发中心。尽管 Kerberos 在数字世界中无处不在，但它基于可靠的测试和验证特性被广泛用于安全系统。 Kerberos 用于 Posix 身份验证以及 Active Directory、NFS 和 Samba。它是 SSH、POP 和 SMTP 的另一种身份验证系统。

Kerberos 协议流：

这适用于基于客户端-服务器的模型。 Kerberos 利用对称密钥加密和密钥分发中心 (KDC) 来验证和验证消费者身份。加密和解密使用的对称密钥相同。 KDC 是所有密钥的数据库。一个 KDC 需要 3 个方面：

• 将消费者与服务服务器 (SS) 连接起来的票据授予服务器 (TGS)。
• 存储所有测试用户的密码和标识的 Kerberos 数据库。
• 扮演初步认证的认证服务器（AS）。

假设我们有一个用户（客户端）并且我们有一个服务器（我们需要其网络服务）。用户必须是授权用户。

• 用户向 KDC 发送消息，请求密钥，以便用户证明其真实性并访问网络的服务。
• 现在 KDC 中的 AS（身份验证服务器）会将票证发回给用户。票证将采用加密形式。
• 用户将解密消息并获得哈希码。
• 哈希码再次发送回 AS。现在 AS 将检查真实性。
• 如果用户被授权，则 AS 向 Ticket Granting Server 提供服务票证（Secret Key）。
• TGS 将其提供给用户。
• 使用此票证，客户端与服务器进行通信。

Kerberos 是否可靠？

没有 100% 无法访问的保护级别，而 Kerberos 是。长期以来，黑客多年来一直有机会找到绕过您的方法，通常是通过制作假票、反复尝试猜测密码（蛮力/证明输入）以及使用恶意计算机程序来减少加密。除此之外，Keberos 仍然是当今可用的最佳安全访问协议。该协议足够灵活，可以使用非常强大的加密算法来帮助对抗新的威胁，并且当用户制定选择正确密码的策略时，你应该表现自己！

Kerberos 的优点：

• 访问控制： Kerberos 身份验证协议允许强大的访问控制。用户可以利用单点跟踪所有登录并执行保护策略。
• 相互验证： Kerberos 验证允许运营商结构和客户相互验证。在该过程的所有步骤中，用户和服务器将了解他们可能与之交互的对方是真实的。
• 有限票证生命周期： Kerberos 中的每张票证都有时间戳和终身数据，身份验证周期由管理员管理。
• 可重用身份验证： Kerberos 身份验证是持久且可重用的。每个用户将通过系统进行一次有效的测试。
• 安全性：多个密钥、第三方授权和加密使 Kerberos 成为一种安全的验证协议。密码不通过网络发送，密钥被加密，使得攻击者很难冒充用户或服务。
• 性能：关于性能，Kerberos 会在验证后跟踪客户信息。这意味着它可以比 NTLM 做得更好，尤其是在大型农场上。此外，Kerberos 可以将客户端信息从端到端 Web 服务器传输到其他后台服务器，例如 SQL Server。