摘要:Kerberos 作为一种基于 RFC4120 标准所定义的身份认证技术,用于验证用户或设备是否与其所声称的身份相符。该技术通过引入抽象的身份凭据——票据,有效避免了密码在网络中明文传输。同时,票据设置了有效期,极大地降低了被窃取的风险。
IT 运维人员在使用 AD 域时,往往绕不开 Kerberos。因此,在探讨企业身份认证协议时,Kerberos 与域管之间的关联关系是一个经典且重要的议题。
Kerberos 作为一种基于 RFC4120 标准所定义的身份认证技术,用于验证用户或设备是否与其所声称的身份相符。该技术通过引入抽象的身份凭据——票据,有效避免了密码在网络中明文传输。同时,票据设置了有效期,极大地降低了被窃取的风险。
AD 域控借助其自带的 KDC 服务(即密钥分发中心),使得 Kerberos 成为 AD 域核心认证能力之一。在 AD 域环境下,当用户尝试访问域内服务,如文件服务器、数据库等时,AD 域会调用 Kerberos 协议,进而实现用户的免密访问。若 AD 关闭 Kerberos,用户便不能免密访问文件服务器等服务。由此可见,Kerberos 是实现 AD 域单点登录认证的重要技术机制。在此过程中,AD 域主要承担维护用户身份库(即目录数据)的职责,而 Kerberos 则专注于执行加密认证流程,以实现单点登录认证的效果。
此外,AD 域的部分安全策略依赖 Kerberos 来落地,其中典型的例子便是 Windows 计算机用户的“密码有效期”组策略。若在 AD 域中将密码有效期设定为 7 天,当计算机用户的密码过期时,AD 会将用户状态标记为“密码过期”。KDC 服务在查询到这一状态后,会拒绝为该用户发放票据,从而强制用户修改密码,实现对账户的有效保护。
Kerberos 与 AD 域的协同运作,为企业内网身份安全与资源管控提供了有力保障。对于企业员工而言,基于 Kerberos 的域单点登录服务显著提升了访问的便捷性。
但其实 Kerberos 在非 Windows 环境也可使用,在 Linux 系统中可以通过 yum 安装 KDC 服务来实现其应用。而且,在当前技术发展的背景下,域单点登录的实现方式也不再仅仅依赖于 Kerberos 机制。
Kerberos 配置过程复杂,协议相对老化,在与现代应用及国产终端的适配方面表现欠佳。此外,“黄金票据”、“白银票据”攻击等安全隐患也不容忽视。基于以上种种因素,Kerberos 在当下已不再是域单点登录机制的首选方案。
域单点登录的显著特征在于「域内」,终端加入哪个域,便由该域服务提供相应的域单点登录机制。例如,当终端加入 AD 域时,AD 域采用的是 Kerberos 机制提供域单点登录服务。而当终端加入如宁盾这类第三方身份域管时,宁盾则能提供更方便集成且安全性更高的域单点登录接口。在宁盾域单点登录对比微软AD域单点登录,总结5个必看维度
里详细介绍了宁盾域单点登录方案,感兴趣可点击了解。来源:宁盾