本节概述 Kerberos 验证系统。有关更多详细说明,请参见Kerberos 凭证如何提供对服务的访问。
从用户的角度来看,启动 Kerberos 会话后,Kerberos 服务通常不可见。ssh 或 ftp 等命令也是如此。初始化 Kerberos 会话通常仅包括登录和提供 Kerberos 口令。
Kerberos 系统围绕票证概念展开。票证是一组标识用户或服务(如 NFS 服务)的电子信息。正如您的驾驶证可标识您的身份并表明您的驾驶级别一样,票证也可标识您的身份以及您的网络访问特权。执行基于 Kerberos 的事务(例如,请求已挂载 NFS 的文件)时,您将透明地向密钥分发中心 (Key Distribution Center, KDC) 发送票证请求。KDC 会访问数据库验证您的身份,并返回向您授予 NFS 服务器访问权限的票证。“透明”指的是您不需要显式请求票证。尝试访问服务器时就会发送请求。因为只有通过验证的客户机可以获取特定服务的票证,所以其他客户机不能以虚假身份访问 NFS 服务器。
票证具有与之关联的特定属性。例如,票证可以是可转发的,这意味着它可以在其他计算机上使用,而不必进行新的验证。票证也可以是以后生效的,这意味着它要到指定时间后才会生效。票证的使用方式(例如,指定允许哪些用户获取哪些类型的票证)由策略设置。策略在安装或管理 Kerberos 服务时确定。
以下各节将进一步说明 Kerberos 验证过程。