嘿:)我正在学习Kerberos。我首先阅读了有关MIT Kerberos的信息,然后介绍了Microsoft中的用法。我发现了一些不同。我只想确定。是正确的,在原始MIT Kerberos中,密码的哈希值从未从客户端发送到服务器,但是在Microsoft Kerberos中却发生了吗?
嗯?
Kerberos是Kerberos。这是一个定义明确的规范,所有不同的实现或多或少都以相同的方式实现。 Windows实现当然具有它的一些怪癖,但绝不以任何方式将密码哈希发送到服务器。
Kerberos使用密钥协商过程来交换消息。客户端和KDC都知道用户的“长期证书”,即使用特定密钥派生功能对用户的密码进行哈希处理。当客户端希望将消息发送到KDC时,它将使用长期证书对其进行加密。 KDC知道该凭据,因此可以对其进行解密。响应以相同的方式加密。
任何一方都不会将密码或其哈希值发送给另一方,通常使用。
但是有两种单独但特定的情况,这些情况并不适用。
[使用证书通过PKINIT登录时,Windows将在user PAC of the ticket中包含长期证书(以便工作站可以对其进行解密),并加密为Diffie-Hellman派生的秘密。
另一种情况是进行FIDO登录时,长期凭证包含在authorization data element中。
这两种情况都允许客户端支持仅了解密码身份验证的旧协议。