kerberos协议

背景

1、1000台电脑，员工可以在任意电脑上登录自己的账户，每台电脑建立1000个用户

2、现有一台打印机服务，员工想要访问有两种方式，一种直接链接网线，第二种实现认证后，多个主机使用一台打印机

3、有个认证服务，知道所有账户的密码，双方认证要求服务器知道所有的账户密码，在域环境下账户数量庞大，单一的服务器没有办法存储所有的账户

4、通过kerberos认证的用户可以获得一张服务票据，服务器只认识服务票据，有票据你就可以访问服务，服务器不认识账号密码，他只认服务票据

5、使用打印机服务，输入账户密码找kerberos认证一遍，获取打印机服务，使用ftp服务，需要再认证一次

什么是kerberos协议?

和ntml协议一样，用于实现登录认证

AS

• 负责颁发身份票据

TGS

• 负责颁发服务票据

认证过程

• 用户输入账户密码，去找AS服务获取身份票据
• 用户使用身份票据回去服务票据
• 使用服务票据访问具体的服务

域

方便管理，域控可以管理任意一台主机

通过活动目录控制，账号信息都存在于活动目录

什么是黄金票据白银票据?

是kerberos认证过程中产生的票据

黄金票据

TGS 票据授权服务，验证TGT

票据授权票(TGT) : 身份票据

伪造了kerberos认证过程中的身份票据

白银票据

服务票据

伪渣了kerberos认证过程中的服务票据