心的距離

[轉載請註明出處] http://kezeodsnx.pixnet.net/blog

作者: kezeodsnx

Kerberos--第三方認證機制

Kerberos是一種網路認證協定。一般client/server型態的應用程式，由server提供service給認證過的client。認證意味著不是隨便張三李四都可隨意使用該service，因此server端通常會要求client證明身份，方法則多半是username/password。因此不管這個密碼是 cyphertext還是plaintext，都在網路上傳來傳去，讓有心人士有可趁之機。

大多數人每天開心的使用網路，在鍵入帳號資訊，信用卡卡號，晶片卡密碼時，從不以為會發生什麼問題。當然，這只是沒有遇到， 不代表麻煩不會上身。而Kerberos就在這個不安全的網路世界中，提供了強大且安全的認證機制。這並非表示Kerberos解決了所有問題， 而是把惹上麻煩的機率降低一些。天下沒有不可能的事，不是嗎?

Kerberos獨立於client跟server之外，提供認證的機制，因此說它是第三方。client需要service時，是向Kerberos取得認證，而非server。 因此，這個server當然是要Kerberosized的。目前討論的實作是MIT的Kerberos V5 (目前最新版為02 Jun 2009所釋出的krb5-1.7)。 這是MIT為了讓人們了解Kerberos而寫的， 原文:Designing an Authentication System:a Dialogue in Four Scenes。年代有點久，當作短篇小說來看還不錯，了解整個問題是怎麼來的，更能知道Kerberos到底做了些什麼。

MicroSoft

Windows 2000/2003 server都根據了RFC 1510實作 Kerberos協定。 而RFC 1964則定義了peer傳送訊息的token (GSS, Generic Security Service /API)。Windows的desktop (如XP)與windows server及windows server間的認證均使用Kerberos。