Microsoft Kerberos

Kerberos 协议定义客户端如何与网络身份验证服务交互。 客户端从 Kerberos 密钥分发中心 (KDC) 获取票证，并在建立连接时向服务器出示这些票证。 Kerberos 票证表示客户端的网络 凭据。

本节中的信息提供了有关在身份验证过程中使用 Kerberos 协议的理论背景。 这是一个背景信息，可以增加开发人员对使用 Kerberos 版本 5 协议的 SSPI 进程中幕后发生的情况的理解。

Kerberos 身份验证协议提供了一种机制，用于在建立安全网络连接之前在实体之间进行相互身份验证。 在本文档中，这两个实体称为客户端和服务器，即使可以在服务器之间建立安全网络连接。 客户端和服务器也可以称为 安全主体。

Kerberos 协议假定客户端和服务器之间的事务发生在开放网络上，其中大多数客户端和许多服务器在物理上不安全，可以任意监视和修改沿网络传输的数据包。 假设的环境类似于当今的 Internet，攻击者可以轻松地冒充客户端或服务器，并且很容易窃听或篡改合法客户端和服务器之间的通信。

本节内容提供以下信息：

• 基本身份验证概念
• Kerberos 子协议
• Kerberos 模型
• SSPI/Kerberos 与 GSSAPI 的互操作性

应用程序不应直接访问 Kerberos 安全包 ;相反，它应使用 Negotiate 安全包。 协商允许应用程序利用更高级的 安全协议 （如果身份验证所涉及的系统支持这些协议）。 目前，协商安全包在 Kerberos 和 NTLM 之间进行选择。 协商选择 Kerberos，除非它不能由身份验证所涉及的系统之一使用。