Kerberos域安全系列（2）-Kerberos协议

Kerberos协议简介

• Kerberos协议由麻省理工学院MIT提出，目前主流版本为RFC 4120定义的V5版
• Windows、Linux、Mac这3大主流操作系统均支持Kerberos协议
• Windows 2016支持最新的Kerberos ARMOR版

下面是一张Kerberos原理图

1、DS（Domain Server），存储了每个域用户的口令散列值NTML。根据功能划分，DC包含2大模块：AS、TGS

2、AS（Authentication Server），认证用户，用户使用NTLM加密时间戳，AS使用用户的口令NTLM解密时间戳，进行认证。发布认证票据，认证票据可以多次循环使用

3、TGS（Ticket Granting Service），根据认证票据，发布授权票据。

 

上图中：

第1、2步：申请认证票据。第1步证明，我就是我。

第3、4步：申请授权票据

第5、6步：使用授权票据

 

下面，来看看具体每一步发送的请求回复内容

下图中的C，指的是Client，客户端

---

参考文章：

https://www.jianshu.com/p/fc2d2dbd510b

https://www.freebuf.com/articles/system/196434.html