Kerberos

-Kerberos操作（来源：Fulvio Ricciardi）
根据CISSP官方学习指南，识别是“一个对象自称身份和责任的过程。”

Kerberos是用於验证主体身份的协议。在Kerberos V4和更早的版本中，身份验证不需要密码。用户的身份将对用户进行身份验证。在Kerberos V5中，引入了预身份验证以扩展协议。
身份验证是“在显示身份时确认实体的身份”（NIST SP 800-32），或“通常是允许用户访问信息中的资源的前提条件，即验证用户，过程或设备的身份。系统”（FIPS 200）。

该TGT（票证授予票证），如果认证成功颁发给客户端。

5个为什麽技术
. 问：为什麽客户端将用户的身份提交到身份验证服务器（AS）？
答：供服务器从目录中识别主题。
. 问：为什麽AS服务器识别主题？
答：通过验证时间戳来验证主题。
. 问：为什麽AS服务器对主题进行身份验证？
答：通过颁发TGT（授予票证的票证）来声明受试者的身份。
. 问：AS服务器为什麽要断言主体的身份？
答：供客户索取服务票。

-使用Kerberos进行身份验证（来源：OMAL PERERA）

预认证(Pre-Authentication)
在Kerberos的早期版本（v4和更早版本）中，身份验证不需要密码。一个简单的有效用户名将对用户进行身份验证。在Kerberos v5中，需要密码。这称为预身份验证。可以禁用预身份验证，以便为旧的Kerberos v4库和Unix应用程序等提供向後兼容性。
警告：禁用预身份验证会严重降低安全性。
资料来源：盖尔·奥尔森（Geir Olsen）

参考
. Kerberos
. Kerberos简化
. Kerberos（协议）
. Kerberos预认证
. Kerberos网络身份验证服务（RFC 4120）
. Kerberos预身份验证的通用框架（RFC 6113）
. Kerberos操作

资料来源： Wentz Wu QOTD-20210109