初始的辯證﹕能賦予許可證的許可證
Kerberos 辯證有兩個階段﹕一個是證明所有後續辯證的初始辯證,而另一個是後續的辯證。
圖 1-1 會說明如何採行初始的辯證﹕
圖 1-1 SEAM 作業階段的初始辯證
-
一個客戶端(一位使用者、或是一項如 NFS 的服務)會向密鑰分配中心要求一張能賦予許可證的許可證 (TGT) 以開始一個 SEAM 作業階段。通常在登入時會自動完成。
要為特定的服務取得其他的許可證,您就需要一張能賦予許可證的許可證。讓我們把它比喻為護照。能賦予許可證的許可證就像一本護照一樣可以證明您的身份,並且讓您取得許多不同的“簽證” - 其中所謂的“簽證”(許可證)不是用於國外而是用於遠端的機器或是網路服務之上。就像護照和簽證一樣,能賦予許可證的許可證及其他各種的許可證也需要規定有效期限。不同之處在於 “Kerberos 化” 指令會自動注意到您有一本護照並且為您取得簽證-,您便不需要自行執行此種操作。
-
KDC 會建立一張能賦予許可證-的許可證,再以加密的格式將其送回給客戶端。客戶端會使用客戶端的密碼來解密這張能賦予許可證的許可證。
-
取得一張有效的能賦予許可證的許可證之後,只要此許可證繼續保持有效的情況之下,客戶端都可以要求各種的網路操作許可證,如 rlogin 或 telnet 等。通常許可證可以持續幾個小時之久有效。每一次客戶端執行一個獨特的網路操作,便會向 KDC 要求一張該操作的許可證。
- © 2010, Oracle Corporation and/or its affiliates