Kerberos 服务是一种客户机/服务器体系结构,用于在网络上提供安全事务。该服务可提供功能强大的用户验证以及完整性和保密性。通过验证,可保证网络事务的发送者和接收者的身份真实。该服务还可以检验来回传递的数据的有效性(完整性),并在传输过程中对数据进行加密(保密性)。使用 Kerberos 服务,可以安全登录到其他计算机、执行命令、交换数据以及传输文件。此外,该服务还提供授权服务,这样,管理员便可限制对服务和计算机的访问。而且,作为 Kerberos 用户,您还可以控制其他用户对您帐户的访问。
Kerberos 服务是单点登录系统,这意味着您对于每个会话只需要向服务进行一次自我验证。会话过程中的所有后续事务将自动受到保护。在您通过该服务的验证后,便不需要在每次使用基于 Kerberos 的命令(如 ftp 或 ssh)或访问 NFS 文件系统上数据的命令时,都证明您自己的身份。因此,无需在每次使用这些服务时都在网络上发送口令(口令在网络上可能会被拦截)。
Oracle Solaris 中的 Kerberos 服务基于麻省理工学院 (Massachusetts Institute of Technology, MIT) 开发的 Kerberos V5 网络验证协议。使用过 Kerberos V5 产品的用户会感觉对 Oracle Solaris 版本非常熟悉。由于 Kerberos V5 协议是实际的网络安全行业标准,因此 Oracle Solaris 版本可在异构网络上实现安全事务。此外,该服务还会在各个域之间以及单个域内提供验证和安全服务。
通过 Kerberos 服务可灵活运行 Oracle Solaris 应用程序。可以将该服务配置为允许向网络服务(如 NFS 服务和 ftp)发出基于 Kerberos 的请求和不基于 Kerberos 的请求。因此,即使当前应用程序运行的系统上未启用 Kerberos 服务,这些应用程序仍能工作。当然,也可以将 Kerberos 服务配置为仅允许基于 Kerberos 的网络请求。
通过 Kerberos 服务安全机制,在使用采用通用安全服务应用编程接口 (Generic Security Service Application Programming Interface, GSS-API) 的应用程序时,可使用 Kerberos 提供验证、完整性和保密性服务。但是,如果开发了其他安全机制,则应用程序无需继续承诺使用 Kerberos 服务。因为该服务设计为以模块形式集成到 GSS-API 中,所以采用 GSS-API 的应用程序可以选择最符合其需求的安全机制。