一个领域的Kerberos认证系统由一个Kerberos服务器、多个客户机C和多个业务服务器V构成,它们之间满足以下要求:所有客户机都已向Kerberos服务器注册,Kerberos服务器数据库中存有所有客户机的身份和口令注册信息;Kerberos服务器必须与每一业务服务器V有共享的密钥,所有业务服务器V都已向Kerberos服务器注册。
网络中隶属于不同行政机构的客户机C和业务服务器V则构成不同的领域,一个领域的客户机C如果希望得到另一个领域中的业务服务器V的服务时,每个领域的Kerberos服务器必须和其他领域的业务服务器V有共享的密钥,且两个领域的Kerberos服务器已彼此注册。
多领域的Kerberos认证系统要求在两个领域间,第1个领域的Kerberos服务器信任第2个领域的Kerberos服务器对本领域中客户的认证,而且第2个领域的业务服务器也应信任第1个领域的Kerberos服务器。图8-6是两个领域的Kerberos认证框图,其中领域1中的客户机C希望得到领域2中业务服务器V的服务。
图8-6 两个领域的Kerberos认证框图
具体认证过程描述如下:
1)C向本地AS申请访问本领域TGS的票据。
C→AS:IDC‖IDTGS‖TS1
2)AS向C发放访问本领域TGS的票据。
3)C向本领域TGS申请访问远程TGS的票据。
4)TGS向C发放访问远程TGS的票据。(www.xing528.com)
5)C向远程TGS申请获得访问业务服务器V的许可票据。
6)远程TGS向C发放访问业务服务器V的许可票据。
7)C向远程业务服务器V请求服务。
8)V提供服务器认证信息。
当业务服务器V收到C的请求后,对C的身份进行比较认证,如果C的身份合法,则V允许C访问该服务器。V将收到的时间戳TS7加1,并加密后发送给C,服务器V向C证明了自己的身份。
不过,多领域的Kerberos认证系统扩充性不够好。因为如果有多个领域,如有N个,则必须有N(N-2)/2次密钥交换才可使每个Kerberos领域和其他所有的Kerberos领域能够互操作,当N很大时,方案变得不现实。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
