Microsoft Kerberos

Kerberos 通訊協定 會定義用戶端如何與網路驗證服務互動。 用戶端會從 Kerberos 金鑰發佈中心 （KDC） 取得票證，並在建立連線時將這些票證呈現給伺服器。 Kerberos 票證代表客戶端的網路 認證。

本節中的資訊提供驗證程式中 Kerberos 通訊協定使用理論背景。 這是背景資訊，可讓開發人員瞭解使用 Kerberos 第 5 版通訊協定的 SSPI 程式中幕後發生的情況。

Kerberos 驗證通訊協定會在建立安全網路連線之前，提供實體之間相互驗證的機制。 在本檔中，這兩個實體稱為用戶端和伺服器，即使伺服器之間可以建立安全的網路連線也一樣。 用戶端與伺服器也可以稱為 安全性主體。

Kerberos 通訊協定假設用戶端與伺服器之間的交易會在開放網路上進行，其中大部分客戶端和許多伺服器都無法實際保護，而且可以同時監視和修改沿著網路移動的封包。 假設的環境就像現今的因特網，攻擊者可以輕鬆地以用戶端或伺服器的形式擺姿勢，並隨時竊聽或竄改合法用戶端與伺服器之間的通訊。

本節提供下列資訊：

• 基本身份驗證概念
• Kerberos Subprotocols
• Kerberos 模型
• SSPI/Kerberos 與 GSSAPI 互作性

您的應用程式不應該直接存取 Kerberos 安全性套件;相反地，它應該使用 交涉 安全性套件。 交涉可讓應用程式利用更進階的 安全性通訊協定， 這些通訊協定是由與驗證相關的系統所支援。 目前，交涉安全性套件會選取 Kerberos 與 NTLM。 交涉會選取 Kerberos，除非其中一個涉及驗證的系統無法使用它。