1.7 Kerberos术语

• Kerberos是一种客户端/服务端架构。
• 主体（principal）：Kerberos中的身份标识称为主体。
• 每个参与Kerberos认证协议的用户和服务都需要一个主体来唯一标识自己。
• 用户主体名称（user principal name，UPN）：代表常规用户，类似于用户名或者账号。
• 服务主体名称（service principal name，SPN）：代表用户需要访问的服务
• 领域（realm）：身份验证管理域，领域确定了管理边界，所有主体均属于特定的Kerberos域。
• 密钥分发中心（Key distribution Center，KDC）由三部分构成：Kerberos数据库、认证服务、（Authentication service，AS）和票证授予服务（ticket-granting service，TGS）。
• 主体和域的信息存储在Kerberos数据库中

2 Kerberos工作原理

2.1 Kerberos是如何组织的

1、Kerberos管理域是“realm” ：Realm名通常是DNS名的大写（比如：dns是foo.com，realm会命名为 FOO.COM)

2、认证是由叫做KDC（密钥分发中心,Key Distribution Center )的中央服务器来完成

• 每个用户和服务都和KDC分享密钥KDC生成和分发session key
• 各个参与者之间通过它们知道的session key彼此证明和通讯

2.2 KDC介绍

1. AS（Authentication Server），发行TGT（Ticket-Granting Tickets ）
2. TGS（Ticket Granting Server），发行服务凭证

2.3 Kerberos principal

1. 客户端（用户或者服务）是由principal标识的
2. principal格式：primary/instance@realm

• Primary:用户或服务名
• Instance：对于user principal来说是可选的，对于service
• principal来说是必须的
• realm：kerberos realm

例子：

• 用户：jerry@FOO.COM
• 服务：imap/bar.foo.com@FOO.COM

2.4 Kerberos认证过程

• 客户端向KDC发送一个用户名和一个服务名
• KDC发回一个使用用户密码加密的ticket（凭证）和session key作为响应
  • 这个ticket被称为TGT（Ticket Granting Ticket），它可以用于授权其他ticket
  • 客户端使用用户的密码加密TGT
• 然后客户端使用TGT和KDC交互获取服务ticket。

2.5 Kerberos工作流

Jerry想要使用myservice，需要向myservice提供一个有效的服务票据，以下是工作流程：

1. Jerry需要获取一个TGT。他需要向kdc.mytrain.com上的AS发起一个请求，并表明自己是主体：jerry@MYTRAIN.DOMAIN
2. AS为主体jerry@MYTRAIN.DOMAIN提供一个使用密钥加密的TGT。
3. 接收到加密信息后，Jerry需要输入主体jerry@MYTRAIN.DOMAIN的密码来解密信息
4. 解密TGT信息后，Jerry向kdc.mytrain.domain上的TGS请求myservice/server1.mytrain.com@MYTRAIN.DOMAIN服务的一个服务票据，并且在请求中提供TGT信息。
5. TGS对TGT进行验证，并为Jerry提供使用 myervice/servier1.mytrain.com@MYTRAIN.DOMAIN的密钥加密的服务票据。
6. Jerry将服务票据提供给myservice,myservice使用myservice/server1.mytrain.com@MYTRAIN.DOMAIN的密钥进行解密，验证票据有效性
7. Jerry身份验证通过，允许使用myservice服务。