Kerberos面试内容整理-Kerberos 与 LDAP/Active Directory 的集成
Kerberos 通常不会单独存在于企业环境中,而是与目录服务相结合以提供完整的身份管理方案。其中,Active Directory (AD) 是 Kerberos 集成应用的典型代表。Active Directory 是微软的目录服务,实现了 LDAP(轻量级目录访问协议)目录和 Kerberos 认证的融合。在 AD 域控制器上,LDAP 目录服务器和 Kerberos KDC 通常由同一台服务器提供。LDAP 负责存储域内的所有用户、组、计算机账户和其属性信息,而 Kerberos 负责对这些账户进行认证。换言之,AD 中用户的登录密码既用于 Kerberos 身份验证(生成用户密钥),也存储在目录中用于查询;当用户登录域时,Kerberos 验证其密码并颁发票据,同时 AD 的目录功能将该用户的组成员等信息提供给需要的服务,从而实现认证和授权的信息联动。