认证与访问控制（崔永泉）认证第四讲Kerberos协议.pptVIP

钱琪(C)要在某宾馆的餐厅就餐，向大堂经理王雪梅(AS)提出就餐申请，王雪梅认证其身份后给他一张介绍信(TGT)，让他去找餐厅经理程嘉(TGS)。 钱琪凭介绍信向程嘉请求餐厅服务员雷蕾(S)为他提供就餐服务，程嘉验证其介绍信后给他一张对应雷蕾的就餐证(SGT)，让他直接找雷蕾； 钱琪凭就餐证向雷蕾提出就餐服务，雷蕾验证其就餐证后给他回应，让他准备就餐。 注：钱琪若再次请求雷蕾为其服务，直接用原有就餐证(SGT)即可，不必再找程嘉；钱琪若改变请求要黄素娟为其服务，则需向程嘉请求一张对应黄素娟的就餐证(SGT)；而钱琪若改变请求要住宿，则必需重新向王雪梅提出申请，王雪梅重新认证后让他去找客房经理徐成城…… * 3) 数据库复制 为了提高系统的效率和可靠性，Kerberos在master上存放数据库，而在slave上存放数据库的只读副本。这样当master出现异常情况时，系统还可以完成日常的认证工作，并且多台认证服务器的使用减少了瓶颈的发生。但维持数据库的多个副本带来了如何保持各个副本间数据一致性的问题。有一个简单有效的办法可以解决这个问题，那就是每隔一个小时就进行一次从master到slave的转储工作。 * 3)数据库复制----续 为了保证数据库不被窃听和篡改，Kerberos使用以下措施：数据库中principle的所有密码在存储时都用Kerberos数据库专用密钥进行加密，