共用方式為


Microsoft Kerberos

Kerberos 通訊協定 會定義用戶端如何與網路驗證服務互動。 用戶端會從 Kerberos 金鑰發佈中心 (KDC) 取得票證,並在建立連線時將這些票證呈現給伺服器。 Kerberos 票證代表客戶端的網路 認證

本節中的資訊提供驗證程式中 Kerberos 通訊協定使用理論背景。 這是背景資訊,可讓開發人員瞭解使用 Kerberos 第 5 版通訊協定的 SSPI 程式中幕後發生的情況。

Kerberos 驗證通訊協定會在建立安全網路連線之前,提供實體之間相互驗證的機制。 在本檔中,這兩個實體稱為用戶端和伺服器,即使伺服器之間可以建立安全的網路連線也一樣。 用戶端與伺服器也可以稱為 安全性主體

Kerberos 通訊協定假設用戶端與伺服器之間的交易會在開放網路上進行,其中大部分客戶端和許多伺服器都無法實際保護,而且可以同時監視和修改沿著網路移動的封包。 假設的環境就像現今的因特網,攻擊者可以輕鬆地以用戶端或伺服器的形式擺姿勢,並隨時竊聽或竄改合法用戶端與伺服器之間的通訊。

本節提供下列資訊:

您的應用程式不應該直接存取 Kerberos 安全性套件;相反地,它應該使用 交涉 安全性套件。 交涉可讓應用程式利用更進階的 安全性通訊協定, 這些通訊協定是由與驗證相關的系統所支援。 目前,交涉安全性套件會選取 Kerberos 與 NTLM。 交涉會選取 Kerberos,除非其中一個涉及驗證的系統無法使用它。