当我登录 Windows AD 域中的 Windows 成员服务器时,它使用 LDAP 还是 Kerberos 来对我进行身份验证?
我一直以为这是通过 LDAP 完成的,但想知道它是否实际上是 Kerberos。默认情况下,它是加密流量吗?
答案1
AD 同时使用 Kerberos 和 LDAP。
https://technet.microsoft.com/en-us/library/2005.01.activedirectory.aspx
我将简单概括一下,因为您似乎需要从头开始。Kerberos 是 Active Directory 使用的默认身份验证(和授权)协议,尽管人们通常认为它只是一种身份验证协议。Kerberos 是独立于平台的,由麻省理工学院发明,微软后来从 Windows 2000 Active Directory 开始采用它,为您提供对网络上后续网络资源的单点登录访问(这意味着您在首次登录时只需输入一次密码),而无需再次要求您输入用户名和密码。Kerberos 几乎涉及所有事情,从您首次登录访问计算机的那一刻起,到访问域控制器上的 SYSVOL 共享,通过分发所谓的加密票证。Kerberos 在很大程度上取代了 NTLM,这是一种较旧的 Microsoft 原始身份验证协议(Windows NT)。LDAP 也是一种身份验证和授权协议,也是在目录(如 Active Directory)内组织对象(如用户、计算机和组织单位)的方法。它基本上就是您打开 Active Directory 用户和计算机控制台时看到的列表视图。Kerberos 比 LDAP 更安全,而且它们经常一起使用。例如,当您打开 Active Directory 用户和计算机控制台时,您的计算机首先获得访问域控制器的票证,然后使用 LDAP 在处理用户或 OU 等对象时实际使用控制台本身。Kerberos 和 LDAP 允许您在 Microsoft Active Directory 网络上运行 Windows、Linux、UNIX 甚至 Apple Mac 客户端的异构网络。
是的,它是 OOB 加密的。
答案2
Kerberos 用于验证, LDAP 用于授权
Kerberos 仅存储登录名和密码(以及一堆说明 Kerberos 票证是否可转发等的选项),仅此而已。
一旦 kerberos 对您进行了身份验证,您的权限(组成员身份等)将在 LDAP 目录中进行管理。