データベースへのケルバー接続を扱っています。私はkerberizationの基礎を理解していると思う。ユーザは、KDCの「認証サーバ」部分にTGT(Ticket Granting ticket)を要求し、ユーザが認証を必要とするサービスにアクセスする必要がある場合、TGTをKDCの別の部分に送信します。ユーザがサービスにアクセスすることが許可されていることを検証した後に、「サービスチケット」を発行する。ユーザは、この「サービスチケット」をサーバに転送し、サービスを取得する。"ケルベロスログイン"と "ケルベロスパスワード"のイディオムを理解する
私もidoms "kerberos login"と "kerberos password"について聞いたことがあります。 私は彼らが正確に何を意味し、参照しているのかよく分かりません。
ポインタはどうぞ。
ありがとう、
"Kerberos Principal"という別の言葉が必要です。 「フルログイン名」と言うことができます。スマートカードのように安全なものではなく、認証にパスワードを使用している場合、「Kerberosパスワード」はKerberosプリンシパルの認証に使用されるパスワードです。
どちらも、AS =認証サーバー(パスワードは決してクリアでは送信されません)に対してユーザーを認証するために使用されます。認証が許可されると、ユーザーはセッションキーを受信します。
セッションキーを使用してTGTを尋ねる - 要約で認証手順を省略した。認証サーバーはTGTに関する何も決して処理しません。それはTicket Granting Serviceの目的です。 (両方とも同じマシンに実装されていても、依然として独立したサービスです。)
これはすべて実際には複雑ではありません。それは主に用語です。
初心者の方は、Wikipedia article on Kerberosを読んだり、like this oneまたはthisの図をご覧ください。参考までに、 The Kerberos Tutorialと読むことができます。 (また、関心のケルベロスの背後にある理論的根拠を説明し Designing an Authentication System: a Dialogue in Four Scenesこと、そしてブライアン桐の"The Moron's Guide to Kerberos"ことがあります。)
私はすべての答えがことを願って - いない場合は、/言い換えれあなたの質問を更新してください。
「プリンシパル」は、認証できるものです。それはユーザーかもしれませんが、コンピュータまたはサービスでもあります。 – Gabe
正しい。プリンシパルとは、特定の表記法でアイデンティティをチェックすることができるものです。認証を行うには多くの方法がありますが、パスワードはそれを行う方法の1つ(そして最悪の方法)に過ぎません。これは「初心者の質問」のように思えるので、私は事を単純化しました。 – foo