Kerberos 服務(wù)的工作原理

下面概述了 Kerberos 驗(yàn)證系統(tǒng)。有關(guān)更詳細(xì)的說(shuō)明，請(qǐng)參見(jiàn)Kerberos 驗(yàn)證系統(tǒng)的工作原理。

從用戶的角度來(lái)看，啟動(dòng) Kerberos 會(huì)話后，Kerberos 服務(wù)通常不可見(jiàn)。一些命令（如 rsh 或 ftp）也是如此。初始化 Kerberos 會(huì)話通常僅包括登錄和提供 Kerberos 口令。

Kerberos 系統(tǒng)的工作圍繞票證的概念展開(kāi)。票證是一組標(biāo)識(shí)用戶或服務(wù)（如 NFS 服務(wù)）的電子信息。正如您的駕駛證可標(biāo)識(shí)您的身份并表明您的駕駛級(jí)別一樣，票證也可標(biāo)識(shí)您的身份以及您的網(wǎng)絡(luò)訪問(wèn)特權(quán)。執(zhí)行基于 Kerberos 的事務(wù)時(shí)（例如，遠(yuǎn)程登錄到另一臺(tái)計(jì)算機(jī)），您將透明地向密鑰分發(fā)中心 (Key Distribution Center, KDC) 發(fā)送票證請(qǐng)求。KDC 將訪問(wèn)數(shù)據(jù)庫(kù)以驗(yàn)證您的身份，然后返回授予您訪問(wèn)其他計(jì)算機(jī)的權(quán)限的票證?！巴该鳌币馕吨鸁o(wú)需顯式請(qǐng)求票證。請(qǐng)求是在執(zhí)行 rlogin 命令過(guò)程中進(jìn)行的。因?yàn)橹挥型ㄟ^(guò)驗(yàn)證的客戶機(jī)可以獲取特定服務(wù)的票證，所以其他客戶機(jī)不能以虛假身份使用 rlogin。

票證具有與之關(guān)聯(lián)的特定屬性。例如，票證可以是可轉(zhuǎn)發(fā)的，這意味著它可以在其他計(jì)算機(jī)上使用，而不必進(jìn)行新的驗(yàn)證。票證也可以是以后生效的，這意味著它要到指定時(shí)間后才會(huì)生效。票證的使用方式（例如，如何指定允許哪些用戶獲取哪些類型的票證）由策略設(shè)置。策略在安裝或管理 Kerberos 服務(wù)時(shí)確定。

以下各節(jié)將進(jìn)一步說(shuō)明 Kerberos 驗(yàn)證過(guò)程。

初始驗(yàn)證：票證授予票證

Kerberos 驗(yàn)證分為兩個(gè)階段：允許進(jìn)行后續(xù)驗(yàn)證的初始驗(yàn)證以及所有后續(xù)驗(yàn)證自身。

下圖顯示了如何進(jìn)行初始驗(yàn)證。

圖 19-1 Kerberos 會(huì)話的初始驗(yàn)證

1. 客戶機(jī)（用戶或 NFS 等服務(wù)）通過(guò)從密鑰分發(fā)中心 (Key Distribution Center, KDC) 請(qǐng)求票證授予票證 (ticket-granting ticket, TGT) 開(kāi)始 Kerberos 會(huì)話。此請(qǐng)求通常在登錄時(shí)自動(dòng)完成。

   要獲取特定服務(wù)的其他票證，需要票證授予票證。票證授予票證類似于護(hù)照。與護(hù)照一樣，票證授予票證可標(biāo)識(shí)您的身份并允許您獲取多個(gè)“簽證”，此處的 “簽證”（票證）不是用于外國(guó)，而是用于遠(yuǎn)程計(jì)算機(jī)或網(wǎng)絡(luò)服務(wù)。與護(hù)照和簽證一樣，票證授予票證和其他各種票證具有有限的生命周期。區(qū)別在于基于 Kerberos 的命令會(huì)通知您擁有護(hù)照并為您取得簽證。您不必親自執(zhí)行該事務(wù)。

   與票證授予票證類似的另一種情況是可以在四個(gè)不同的滑雪場(chǎng)使用的三天滑雪入場(chǎng)卷。只要入場(chǎng)券未過(guò)期，您就可以在決定要去的任意一個(gè)滑雪場(chǎng)出示入場(chǎng) 卷，并獲取該滑雪場(chǎng)提供的纜車(chē)票。獲取纜車(chē)票后，即可在該滑雪場(chǎng)隨意滑雪。如果第二天去另一個(gè)滑雪場(chǎng)，您需要再次出示入場(chǎng)卷，并獲取新滑雪場(chǎng)的另一張纜車(chē) 票。區(qū)別在于基于 Kerberos 的命令會(huì)通知您擁有周末滑雪入場(chǎng)卷，并會(huì)為您取得纜車(chē)票。因此，您不必親自執(zhí)行該事務(wù)。

2. KDC 可創(chuàng)建票證授予票證，并采用加密形式將其發(fā)送回客戶機(jī)?？蛻魴C(jī)使用其口令來(lái)解密票證授予票證。

3. 擁有有效的票證授予票證后，只要該票證授予票證未過(guò)期，客戶機(jī)便可以請(qǐng)求所有類型的網(wǎng)絡(luò)操作（如 rlogin 或 telnet）的票證。此票證的有效期通常為幾個(gè)小時(shí)。每次客戶機(jī)執(zhí)行唯一的網(wǎng)絡(luò)操作時(shí)，都將從 KDC 請(qǐng)求該操作的票證。

后續(xù) Kerberos 驗(yàn)證

客戶機(jī)收到初始驗(yàn)證后，每個(gè)后續(xù)驗(yàn)證都按下圖所示的模式進(jìn)行。

圖 19-2 使用 Kerberos 驗(yàn)證獲取對(duì)服務(wù)的訪問(wèn)權(quán)

1. 客戶機(jī)通過(guò)向 KDC 發(fā)送其票證授予票證作為其身份證明，從 KDC 請(qǐng)求特定服務(wù)（例如，遠(yuǎn)程登錄到另一臺(tái)計(jì)算機(jī)）的票證。

2. KDC 將該特定服務(wù)的票證發(fā)送到客戶機(jī)。

   例如，假設(shè)用戶 joe 要訪問(wèn)已通過(guò)要求的 krb5 驗(yàn)證共享的 NFS 文件系統(tǒng)。由于該用戶已經(jīng)通過(guò)了驗(yàn)證（即，該用戶已經(jīng)擁有票證授予票證），因此當(dāng)其嘗試訪問(wèn)文件時(shí)，NFS 客戶機(jī)系統(tǒng)將自動(dòng)透明地從 KDC 獲取 NFS 服務(wù)的票證。

   例如，假設(shè)用戶 joe 在服務(wù)器 boston 上使用 rlogin。由于該用戶已經(jīng)通過(guò)了驗(yàn)證（即，該用戶已經(jīng)擁有票證授予票證），所以在運(yùn)行 rlogin 命令時(shí)，該用戶將自動(dòng)透明地獲取票證。該用戶使用此票證可隨時(shí)遠(yuǎn)程登錄到 boston，直到票證到期為止。如果 joe 要遠(yuǎn)程登錄到計(jì)算機(jī) denver，則需要按照步驟 1 獲取另一個(gè)票證。

3. 客戶機(jī)將票證發(fā)送到服務(wù)器。

   使用 NFS 服務(wù)時(shí)，NFS 客戶機(jī)會(huì)自動(dòng)透明地將 NFS 服務(wù)的票證發(fā)送到 NFS 服務(wù)器。

4. 服務(wù)器允許此客戶機(jī)進(jìn)行訪問(wèn)。

從這些步驟來(lái)看，服務(wù)器似乎并未與 KDC 通信。但服務(wù)器實(shí)際上與 KDC 進(jìn)行了通信，并向 KDC 注冊(cè)了其自身，正如第一臺(tái)客戶機(jī)所執(zhí)行的操作。為簡(jiǎn)單起見(jiàn)，該部分已省略。

Kerberos 遠(yuǎn)程應(yīng)用程序

用戶（如 joe）可以使用的基于 Kerberos 的（即 "Kerberized"）命令包括：

• ftp

• rcp

• rlogin

• rsh

• ssh

• telnet

這些應(yīng)用程序與同名的 Solaris 應(yīng)用程序相同。但是，它們已擴(kuò)展為使用 Kerberos 主體來(lái)驗(yàn)證事務(wù)，因此會(huì)提供基于 Kerberos 的安全性。有關(guān)主體的信息，請(qǐng)參見(jiàn)Kerberos 主體。

Kerberos 用戶命令中將進(jìn)一步介紹這些命令。

Kerberos 主體

Kerberos 服務(wù)中的客戶機(jī)由其主體標(biāo)識(shí)。主體是 KDC 可以為其分配票證的唯一標(biāo)識(shí)。主體可以是用戶（如 joe）或服務(wù)（如 nfs 或 telnet）。

根據(jù)約定，主體名稱分為三個(gè)部分：主名稱、實(shí)例和領(lǐng)域。例如，典型的 Kerberos 主體可以是 joe/admin@ENG.EXAMPLE.COM。在此示例中：

• joe 是主名稱。主名稱可以是用戶名（如此處所示）或服務(wù)（如 nfs）。主名稱還可以是單詞 host，這表示此主體是設(shè)置用于提供各種網(wǎng)絡(luò)服務(wù)（如 ftp、rcp 和 rlogin 等）的服務(wù)主體。

• admin 是實(shí)例。對(duì)于用戶主體，實(shí)例是可選的；但對(duì)于服務(wù)主體，實(shí)例則是必需的。例如，如果用戶 joe 有時(shí)充當(dāng)系統(tǒng)管理員，則他可以使用 joe/admin 將其自身與其平時(shí)的用戶身份區(qū)分開(kāi)來(lái)。同樣，如果 joe 在兩臺(tái)不同的主機(jī)上擁有帳戶，則他可以使用兩個(gè)具有不同實(shí)例的主體名稱，例如 joe/denver.example.com 和 joe/boston.example.com。請(qǐng)注意，Kerberos 服務(wù)會(huì)將 joe 和 joe/admin 視為兩個(gè)完全不同的主體。

  對(duì)于服務(wù)主體，實(shí)例是全限定主機(jī)名。例如，bigmachine.eng.example.com 就是這種實(shí)例。此示例的主名稱/實(shí)例可以為 ftp/bigmachine.eng.example.com 或 host/bigmachine.eng.example.com。

• ENG.EXAMPLE.COM 是 Kerberos 領(lǐng)域。領(lǐng)域?qū)⒃?a >Kerberos 領(lǐng)域中介紹。

以下都是有效的主體名稱：

• joe

• joe/admin

• joe/admin@ENG.EXAMPLE.COM

• nfs/host.eng.example.com@ENG.EXAMPLE.COM

• host/eng.example.com@ENG.EXAMPLE.COM

Kerberos 領(lǐng)域

領(lǐng)域是定義屬于同一主 KDC 的一組系統(tǒng)的邏輯網(wǎng)絡(luò)，類似于域。圖 19-3 顯示了各領(lǐng)域相互之間的關(guān)系。有些領(lǐng)域是層次化的，其中，一個(gè)領(lǐng)域是另一個(gè)領(lǐng)域的超集。另外一些領(lǐng)域是非層次化（或“直接”）的，必須定義兩個(gè)領(lǐng)域之間的 映射。Kerberos 服務(wù)的一種功能是它允許進(jìn)行跨領(lǐng)域驗(yàn)證。每個(gè)領(lǐng)域只需在其 KDC 中有對(duì)應(yīng)于另一個(gè)領(lǐng)域的主體項(xiàng)即可。此 Kerberos 功能稱為跨領(lǐng)域驗(yàn)證。

圖 19-3 Kerberos 領(lǐng)域

Kerberos 服務(wù)器

每個(gè)領(lǐng)域都必須包括一臺(tái)用于維護(hù)主體數(shù)據(jù)庫(kù)主副本的服務(wù)器。此服務(wù)器稱為主 KDC 服務(wù)器。此外，每個(gè)領(lǐng)域還應(yīng)至少包含一臺(tái)從 KDC 服務(wù)器，該服務(wù)器包含主體數(shù)據(jù)庫(kù)的多個(gè)副本。主 KDC 服務(wù)器和從 KDC 服務(wù)器都可創(chuàng)建用于建立驗(yàn)證的票證。

領(lǐng)域還可以包含 Kerberos 應(yīng)用服務(wù)器。該服務(wù)器提供對(duì)基于 Kerberos 的服務(wù)（如 ftp、telnet、rsh 和 NFS）的訪問(wèn)。如果安裝了 SEAM 1.0 或 1.0.1，則領(lǐng)域可能會(huì)包括 Kerberos 網(wǎng)絡(luò)應(yīng)用服務(wù)器，但此軟件不隨這些發(fā)行版一起提供。

下圖顯示了一個(gè)假設(shè)的領(lǐng)域可能包含的內(nèi)容。

圖 19-4 典型的 Kerberos 領(lǐng)域