Microsoft Kerberos

Kerberos 协议 定义客户端如何与网络身份验证服务交互。 客户端从 Kerberos 密钥分发中心（KDC）获取票证，并在建立连接时将这些票证呈现给服务器。 Kerberos 票证表示客户端的网络 凭据。

本节中的信息提供有关在身份验证过程中使用 Kerberos 协议的理论背景。 这是一个背景信息，可以添加到开发人员对使用 Kerberos 版本 5 协议的 SSPI 进程中幕后发生的情况的理解。

Kerberos 身份验证协议在建立安全网络连接之前为实体之间提供相互身份验证的机制。 在整个文档中，这两个实体称为客户端和服务器，即使可以在服务器之间建立安全网络连接。 客户端和服务器也可以称为 安全主体。

Kerberos 协议假定客户端和服务器之间的事务发生在开放网络上，其中大多数客户端和许多服务器在物理上不安全，并且可以同时监视和修改沿网络传输的数据包。 假设的环境就像当今的 Internet 一样，攻击者可以轻松构成客户端或服务器，并可以轻松窃听或篡改合法客户端和服务器之间的通信。

本部分提供以下信息：

• 基本身份验证概念
• Kerberos 子协议
• Kerberos 模型
• SSPI/Kerberos 与 GSSAPI 的互作性

应用程序不应直接访问 Kerberos 安全包;而是应使用 协商 安全包。 协商允许应用程序利用更高级的 安全协议（如果身份验证所涉及的系统支持）。 目前，协商安全包在 Kerberos 和 NTLM 之间进行选择。 协商选择 Kerberos，除非身份验证中涉及的系统之一无法使用 Kerberos。