初始鉴别: 具有票券授予权的票券
Kerberos 鉴别拥有两个阶段: 初始鉴别,允许所有后续的鉴别,以及后续的鉴别本身。
图形 1-1 显示初始鉴别是如何发生的:
图形 1-1 SEAM 对话的初始鉴别
-
一个客户机 (某个用户,或某项服务,诸如 NFS) 通过从密钥分配中心请求一个 具有票券授予权的票券 (TGT), 开始一个 SEAM 对话。这经常是在登录时自动完成的。
要获得用于具体服务的其它的票券,需要有一个具有票券授予权的票券。打个比方,请将具有票券授予权的票券想象为类似于护照。具有票券授予权的票券类似于一个护照,识别您并允许您获得无数的 "签证" - 这里的 "签证" (票券) 并非用于进入外国,而是用于远程机器或网络服务。具有票券授予权的票券及其它的各种各样票券类似于护照和签证,拥有有限的期限。其区别在于," Kerberized" 命令注意到您拥有一个护照,且为您获得签证- 您不必自己进行事务。
-
KDC 创建一个具有票券授予权的票券,并以加密的形式将其发回到客户机。客户机使用客户机的口令为该具有票券授予权的票券解密。
-
现在客户机持有一个有效的具有票券授予权的票券,就可以请求用于所有类型的网络操作的票券,诸如 rlogin 或 telnet, 只要具有票券授予权的票券最还有效。这通常是几个小时。每当客户机进行一个独特的网络操作时,其就从 KDC 为该操作请求一个票券。
- © 2010, Oracle Corporation and/or its affiliates