14.3. Kerberos 认证指示符
Kerberos 密钥分发中心(KDC)根据客户端使用哪个预身份验证机制来证明其身份,来将 身份验证指标 附加到票据授予票(TGT):
otp
- 双因素身份验证(密码 + 一次性密码)
radius
- RADIUS 身份验证(通常用于 802.1x 身份验证)
pkinit
- PKINIT、智能卡或证书验证
hardened
- 强化的密码(SPAKE 或 FAST)[1]
然后 KDC 将来自 TGT 的身份验证指标附加到来自它的任何服务票据请求。KDC 强制执行基于验证指标的策略,如服务访问控制、最长票据生命周期和最长续订期限。
身份验证指标和 IdM 服务
如果您将服务或主机与身份验证指标相关联,则只有使用相应身份验证机制获取 TGT 的客户端才能访问它。KDC (不是应用程序或服务),检查服务票证请求中的身份验证指标,并根据 Kerberos 连接策略授予或拒绝请求。
例如,要要求双因素身份验证连接到虚拟专用网络(VPN),请将 otp
身份验证指标与该服务相关联。只有使用一次性密码从 KDC 获取初始 TGT 的用户才能登录到 VPN:
图 14.1. 需要 otp 验证指示符的 VPN 服务示例
如果服务或主机没有给其分配的身份验证指标,它将接受任何机制验证的票据。