kerberos配置实验.pdf

Kerberos 环境搭建与配置 实验目的 1．掌握用 Windows 系统实施 Kerberos 的方法。 2 ．深刻理解 kerberos 协议。 实验设备 装有虚拟机的 PC （Windows Server 2003 作域控制器和 WebServer ，Windows XP 作客户端） 基本原理 1．Kerberos 协议在 Windows 中的集成 Windows Server 2003 中的Active Directory 支持许多安全的Internet 标准协议和身份验 证机制，用于在登陆时证明身份，包括：Kerberos V5 、X.509 v3 证书、智能卡、PKI 、SSL、 LDAP 等。Kerberos 认证协议支持双向验证，用于在客户端/服务器环境中提供身份验证。 客户端需要向其访问的资源服务器进行身份验证，服务器也需要向客户端证明自己的身份。 Active Directory 在安装完成后，域控制器的域名即派生为 Kerberos 的域名。域控制器 可以提供 Kerberos 中密钥分发中心KDC 服务。Active Directory 中存储着用户的身份信息， 包括用户名和一个由密码生成的密钥。同时也储存着域中的每一个服务器也将机子的账号名 称和密钥。当用户登陆域时，提供有效的用户名和密码，接着，域控制器发给用户一个票据。 票据可用于在网络上请求域内其他网络资源。 2 ．Kerberos 协议原理 Kerberos协议最初是麻省理工学院（MIT ）为其Athena项目开发的。目前广泛应用的版 本是其第五版本Kerberos V5 。Kerberos协议的参与实体包括需要验证身份的通信双方，以及 通信双方都信任的第三方密钥分配中心（KDC ）。KDC包括：一个认证服务器（AS ），一个 或多个票据分配服务器（TGS ）、一个数据库。协议过程中，发起认证服务的通信方称为客 户方，客户方需要访问的对象称为服务器方。客户方与服务器方通过KDC可以相互验证对 方身份，同时建立起用于以后秘密通信的共享密钥。 Kerberos协议可以分为三个阶段，共六个步骤。 第一阶段：认证服务交换，客户方向认证服务器请求与TGS通信所需要的票据及会话密 钥，如下面消息过程的⑴⑵； ⑴ C→AS:ID ，ID ，Nonce c tgs 1 ⑵ AS →C:{K , Nonce } , {T } c ,tgs 1 K C c ,tgs K tgs 第二阶段：票据授权服务交换，客户方向TGS请求与服务方通信所需要的票据及会话密 钥，如下面消息过程的⑶⑷； ⑶ C→TGS:{ Ac } K c ,tgs , { Tc ,tgs } K tgs ⑷ TGS →C:{K ,{ T } K s } K c ,s c ,s c ,tgs 第三阶段：客户方/服务方的双向认证，客户方在向服务方证实自己身份的同时，证实 服务方的身份，如下面消息过程的⑸⑹； ⑸ C→S: { Ac } K , { T , Nonce } K s c ,s c ,s 2 ⑹ S →C: {Nonce2 }K c ,s 其中，ID 表示 X 的实体名，Nonce 表示随机数，T 表示 AS 分配给客户方 C 用于访问 x c ,tgs TGS 的票据，其中包括客户方实体名、网络地址、TGS 名、时间标记、时限、会话密钥等，T c ,s 表示 TGS 分配给客户方 C 用于访问服务方 S 的票据，其中包括客户方实体名、网络地址、服 务方实体名、时间标记、时限、会话密钥等，A 表示客户方对服务方的认证单，其中包括 c 客户方实体名、网络地址、以及时间标记。