【发布时间】:2016-12-02 10:46:22
【问题描述】:
在 CAS 中,您有票证授予票证 (TGT) 和服务票证 (ST)。如果您已经有 TGT,我不明白为什么需要 ST。您可以简单地验证 TGT 并为 TGT 的所有者向客户端返回授权许可。
那么为什么我们需要在名为 ST 的 TGT 旁边添加一张附加票?
【问题讨论】:
标签: authentication single-sign-on kerberos cas spnego
【发布时间】:2016-12-02 10:46:22
【问题描述】:
在 Kerberos 世界中,服务票证 (ST) 提供对应用程序服务的访问,例如在某些服务器上运行的 HTTP 或 SSH 服务。在此类示例中,实际的 HTTP 或 SSH 服务被视为受保护资源 - 您必须通过提供 Kerberos 服务票证向该服务证明您的身份。现在,让我们后退一步。要从 KDC 获得任何服务票证,您必须拥有 TGT。 TGT 是 Kerberos 客户端向 KDC 证明其身份以获取 ST 的机制,而 ST 是 Kerberos 客户端向目标资源(应用程序服务器)证明其身份的机制。应用程序服务器不验证 Kerberos 客户端的 TGT,它们验证 ST。 Kerberos 客户端可以是用户、计算机,甚至是服务。虽然 Kerberos 可移植到任何总体身份验证框架架构,但它是为在内部网络内部使用而不是在 Web 上使用而设计的。参考:Kerberos: An Authentication Service for Computer Networks
【讨论】: