Kerberos术语定义

Question

我是kerberos的新手。我找到了一些link，但仍然无法完全理解它的条款以及它应该如何。

有人可以让我理解以下条款吗？

• 域
• KDC
• 主要

我想知道如何提及领域名称，kdc名称应该在krb5.ini中？

我在Windows Server 2012中设置了活动目录。在哪里可以找到领域名称，主体和win服务器系统中的所有内容？我想使用命令行工具 kinit 在Windows 8中对其进行身份验证。

给我一​​些想法或例子。

由于

Answer 1

为了使条款易于理解，我们可以将实际技术术语与域

进行比较

示例域名：驾驶执照

• 境界：

  • 身份验证管理域

  • 每个领域都有自己的Kerberos数据库，其中包含用户和服务 那个特定的行政领域。

    • 示例： TamilNadu有单独的管理。相反，AndraPradesh是一个独立的领域。

• <强>主要

  • Kerberos数据库中的条目。每个用户，主机或服务都有一个委托人。
    • 示例：申请许可的每个人。

• Kerberos服务器 - KDC：

  • 数据库 - 包含用户和服务条目（用户的主体，最大有效期，最长续订时间，密码到期等）
    • 示例：许可证申请人的详细信息。
  • 身份验证服务器（AS） - 回复客户端的身份验证请求，当他尚未通过身份验证时，用户必须输入密码。 AS发回票证授予票证（TGT），可以由用户进一步使用，而无需重新输入密码。
    • 示例：谁检查许可证;如果已过期，我们将坚持续订旧版本。
  • 票证授予服务器（TGS） - 根据TGT分发服务票证
    • 示例：许可证颁发机构，向我们颁发许可证。

Answer 2

简而言之，Realm是同一安全边界内的安全对象的命名范围。在Windows中，Active Directory域是领域。领域名称= Active Directory域名。例如，在Samba中实现了非Windows领域。 Samba领域也是领域。

KDC代表密钥分发中心，是一种网络服务，可为Active Directory域中的用户和计算机提供会话票证和临时会话密钥。 KDC负责主要（本地和外国）身份验证。此链接说明了Active Directory中的KDC角色：Key Distribution Center

Principal是用户的身份和角色，代表用户行事。通用主体是用户帐户，计算机帐户，安全组。应用程序可以定义自己的标识类型。 Principal已分配权限，这是访问Kerberos域中的资源所必需的。本文解释了校长的角色：What Are Security Principals?