网络认证服务

在线编辑

网络身份验证服务允许 IBM i 产品和若干 IBM i 服务、例如 IBM i Access Client Solutions,使用 Kerberos 票据作为用户名和密码的可选替代进行身份验证。

由麻省理工学院开发的 Kerberos 协议允许主体 (用户或服务) 向非安全网络中的另一个服务证明其身份。 主体认证通过称为 Kerberos 服务器或密钥分发中心 (KDC) 的集中式服务器完成。
注: 在本文档中,使用通用术语 Kerberos 服务器

用户使用存储在 Kerberos 服务器中的主体和密码进行认证。 认证主体后, Kerberos 服务器会向用户发出授予凭单的凭单 (TGT)。 当用户需要访问网络上的应用程序或服务时,用户 PC 上的 Kerberos 客户机应用程序会将 TGT 发送回 Kerberos 服务器,以获取目标服务或应用程序的服务凭单。 然后, Kerberos 客户机应用程序将服务凭单发送到服务或应用程序以进行认证。 当服务或应用程序接受凭单时,将建立安全上下文,然后用户的应用程序可以与目标服务交换数据。 应用程序可以认证用户并将其身份安全地转发到网络上的其他服务。 当用户已知时,需要单独的函数来验证用户使用网络资源的权限。

网络认证服务实现以下规范:

  • Kerberos 版本 5 协议请求注释 (RFC) 1510 和 RFC 4120
  • 当今业内流行的许多事实上的标准 Kerberos 协议应用程序编程接口 (API)
  • 由 RFC 1509 , 1964 , 2743 和 4121 定义的通用安全服务 (GSS) API

网络认证服务的 IBM i 实现通过符合这些 RFC 和 Microsoft Windows 安全服务提供者接口 (SSPI) API 的认证,授权和数据机密性服务来运行。 Microsoft Active Directory 使用 Kerberos 作为其缺省安全机制。 将用户添加到 Microsoft Active Directory时,其 Windows 标识等同于 Kerberos 主体。 网络认证服务提供与 Microsoft Active Directory 的互操作性及其 Kerberos 协议的实现。