kerberos是否只加密身份验证过程或所有客户端通信?
我的印象是它就像是局域网的VPN。
所有LAN通信都是加密的。就像所有的互联网通信都是用VPN加密一样。
此致 奥布里
答案 0 :(得分:1)
Kerberos非常能够加密客户端和服务器之间的流量,但是根据应用程序中kerberos的确切使用方式,它可能会也可能不会使用kerberos会话密钥来加密流量。
kerberos协议提供了交换会话密钥的方法,该会话密钥可用于在初始身份验证交换后加密消息流量。加密消息交换通常是实际使用GSSAPI的协议的默认值。见gss_wrap documentation
GSSAPI是用于执行安全网络应用程序的通用API。 Kerberos是GSSAPI下最常用的驱动程序。
如果应用程序不使用GSSAPI或本机kerberos消息传递库,则可能使用TLS加密流量或流量未加密。
Kerberos消息加密旨在支持基于tcp的相对长期的客户端/服务器应用程序(想想telnet或ssh)。 API并不总能很好地映射到当前应用程序的架构方式。在应用程序正在构建之后,Kerberos支持通常用螺栓固定 并仅用于身份验证。
答案 1 :(得分:0)
Kerberos是一种分布式服务,通常仅用于secure authentication。它既不确保用户具有访问资源所需的权限(即授权),但它可用于加密任意数据。根据{{3}}扩展和更正RFC 3961 "Encryption and Checksum Specifications"的方面,Kerberos协议提供机密性和完整性服务。
虽然Kerberos可用于加密在经过身份验证的对等方之间传递的信息,但在许多情况下它只执行身份验证步骤。因此,您会发现Kerberos在安全环境中用作组件,以确保与处理授权和安全传输的其他组件和协议进行安全身份验证。
最后,它在很大程度上取决于您的美国案例,以确定使用Kerberos或其他东西作为传输协议之间的权衡是否对您有意义。
虽然Kerberos协议可用于在大多数平台上提供加密服务,但microsoft没有提供执行此目录的机制。相反,GSSAPI可用于调用这些服务。
例如,Active Directory使用Kerberos进行邮件完整性。
同样,您可以使用例如TLS或IPsec用于加密线路上的数据,并将其与Kerberos结合使用以进行身份验证。但同样,这是另一个执行实际传输加密的协议,只使用Kerberos作为身份验证组件。