文档介绍：Kerberos身份认证方案
身份认证概述
Kerberos是IETF发布的一种身份认证标准协议(目前最新版本为V5)。它采用对称密钥方案,也可以说是后面出现的非对称密钥方案的基础。Kerberos协议应用非常广泛,特别是在Windows系统中(包括在Windows系统的内部网络登录中,目前也主要采用的是Kerberos协议)。所以总体来说,Kerberos认证协议主要是在系统层中得到广泛应用,不过像交换机、路由器这些设备目前也有较多应用。但是目前的国内图书市场上还没有见到全面、系统地介绍这种得到广泛应用的身份认证协议工作原理,以及协议体系结构。
笔者在IETF和Microsoft英文官方网站上进行搜集和翻译,然后整理、扩展了该协议比较全面的第一手专业资料,非常感谢IETF和Microsoft公司为我们提供了如此全面、深入的第一手专业技术资料。
本章重点
* Kerberos V5身份认证机制。
* Kerberos V5身份认证的优点与缺点。
* Kerberos SSP体系架构。
* Kerberos物理结构。
* Kerberos V5身份认证的3个子协议。
* AS、TGS、CS交换。
* Kerberos交换消息。
* Kerberos的本地登录、域用户的工作站登录、单域身份认证和用户到用户的身份认证原理。
* Kerberos V5身份认证的启用与策略配置。
  身份认证概述
在正式介绍Kerberos身份认证协议之前,先来了解一下什么是身份认证。这个概念同样适用于本书后面介绍的其他身份认证技术。
身份认证是系统安全的一个基础方面,它用来确认尝试登录域或访问网络资源的任何用户的身份。Windows服务器系统身份认证针对所有网络资源启用“单点登录”(Single Sign-on,SSO)。采用单点登录后,
用户可以使用一个密码或智能卡一次登录到域,然后向域中的任何计算机验证身份。身份认证的重要功能就是它对单点登录的支持。
单点登录是一种方便用户访问多个系统的技术,用户只需在登录时进行一次注册,就可以在一个网络中自由访问,不必重复输入用户名和密码来确定身份。单点登录的实质就是安全上下文(Security Context)或凭证(Credential)在多个应用系统之间的传递或共享。当用户登录系统时,客户端软件根据用户的凭证(例如用户名和密码)为用户建立一个安全上下文,安全上下文包含用于验证用户的安全信息,系统用这个安全上下文和安全策略来判断用户是否具有访问系统资源的权限。Kerberos V5身份认证协议提供一个在客户端跟服务器端之间,或者服务器与服务器之间的双向身份认证机制。
单点登录在安全性方面提供了两个主要优点。
* 对用户而言,单个密码或智能卡的使用减少了混乱,提高了工作效率。
* 对管理员而言,由于管理员只需要为每个用户管理一个账户,因此域用户所要求的管理支持减少了。
  单点登录身份认证执行方式
包括单点登录在内的身份认证,分两个过程执行:交互式登录和网络身份认证。成功的用户身份认证取决于这两个过程。
1. 交互式登录
交互式登录过程向域账户或本地计算机确认用户的身份。这一过程根据用户账户的类型而不同。
* 使用域账户:用户可以通过存储在Active Directory目录服务中的单一注册凭据使用密码或智能卡登录到网络。如果使用域账户登录,被授权的用户可以访问该域及任何信任域中的资源;如果使用密码登录到域账户,将使用Kerberos V5进行身份认证;如果使用智能卡,则将结合使用Kerberos V5身份认证和证书。
* 使用本地计算机账户:用户可以通过存储在安全账户管理器(本地安全账户数据库,SAM)中的凭据登录到本地计算机。任何工作站或成员服务器均可以存储本地用户账户,但这些账户只能用于访问该本地计算机。
2. 网络身份认证
网络身份认证向用户尝试访问的任何网络服务确认用户的身份证明。为了提供这种类型的身份认证,安全系统支持多种不同的身份认证机制,包括Kerberos V5、安全套接字层/传输层安全性(SSL/TLS),以及为了与 Windows NT 。
网络身份认证对于使用域账户的用户来说不可见。使用本地计算机账户的用户每次访问网络资源时,必须提供凭据(如用户名和密码),而使用域账户,则用户就具有了可用于单一登录的凭据。
  主要的身份认证类型
在尝试对用户进行身份认证时,根据各种因素的不同,可使用多种行业标准类型的身份认证。表5-1列出了Windows Server?2003家族支持的身份认证类型,Windows 2000系统也基本上支持这些类型,只是协议版本上有些区别。