Kerberos

Kerberos 是一种网络认证协议,旨在通过使用密钥密码术为客户机或服务器应用程序提供强认证。 Kerberos 网络认证协议假定服务和工作站通过不安全的网络进行通信。 用户向认证服务器进行认证。 然后,用户可以请求服务凭单,该服务凭单可供该用户在服务器上的特定应用程序上使用。

要查看 CICS® 中哪些访问方法支持 Kerberos ,请参阅哪种身份验证方法可与哪种访问方法一起使用?

为何使用 Kerberos?

Kerberos 避免了需要使用密码通过不安全网络向多个服务器进行认证。 此功能可帮助减少管理多个密码的需求。 它允许客户机和服务器执行单向认证 (服务器对客户机进行认证) 或双向 (相互) 认证 (其中客户机也对服务器进行认证)。

Kerberos 的工作方式

Kerberos 系统由三个组件组成: 客户机,服务器和可信第三方 (也称为密钥分发中心 (KDC))。 KDC 与客户机和服务器进行交互,以接受客户机的请求,认证其身份并向服务发放凭单。 由单个 KDC 提供服务的域称为域。 主体用于标识域中的每个客户机和服务器。 主体名称由 Kerberos 管理员为所有客户机和服务器唯一分配。 KDC 必须知道所有主体。

图 1。 Kerberos 的工作方式
Kerberos 消息流
  1. 第一阶段交换在客户机与认证服务器之间进行。 在此阶段中,认证服务器将认证用户 (例如,通过验证用户标识和密码)。 成功登录后,认证服务器将获取用户的密钥并向客户机返回授予凭单的凭单 (TGT)。
  2. 在接收 TGT 时,客户机向授予凭单的服务器 (TGS) 发送针对服务凭单的请求 (包含 TGT)。 TGS 认证 TGT ,然后向客户机返回服务凭单。
  3. 服务凭单允许客户机与提供客户机要使用的服务的服务器进行通信。 服务器可以通过使用服务凭单来验证客户机,而无需与 KDC 联系。 协议的扩展是 相互认证。 配置此选项后,其他信息将在此步骤中流回客户机以认证服务器。

CICS 中对 Kerberos 的支持

CICS 支持 至。支持基于 Kerberos RACF® RFC 4120 - 网络验证服务 ( KerberosV5 ) 和通用安全服务 (GSS) 中定义的 第 5 版。 Kerberos 要将 Kerberos 与 RACF 一起使用,请使用 z/OS® Integrated Security Services 基本元素中的网络身份验证服务组件。 有关详细信息,请参阅 z/OS 产品文档中的 z/OS Integrated Security Services网络身份验证服务管理

CICS 可以通过配置 Web Service 提供程序管道或使用 CICS API 命令 VERIFY TOKEN来验证 Kerberos 令牌。
稳定功能: CICS 网络服务对 WS-Security 基础设施管道配置的支持已趋于稳定。 另请参阅 稳定通知和终止功能
图 2。 Kerberos 的 CICS 支持
通过使用 CICS API 命令 VERIFY TOKEN 使用 Web Service 提供程序管道进行 Kerberos 验证