Kerberos 是大型网络中常用的 SSO 认证协议,也是 Active Directory 使用的默认协议。Kerberos 可跨平台工作,使用加密,并且可防范重放攻击。还可使用密码、证书身份、智能卡、NFC 设备或其他硬件认证产品来认证用户。执行 Kerberos 的服务器称为密钥分发中心 (KDC)。若要认证用户,Apple 设备必须通过网络连接联系 KDC。
Kerberos 非常适用于组织内部或私有网络,因为所有客户端和服务器都直接连接到 KDC。未在企业网络上的客户端必须使用虚拟专用网络 (VPN) 来连接和认证。Kerberos 并非完美适用于基于云端或互联网的 App。这是因为这些应用程序无法直接接入企业网络。对于基于云端或互联网的 App,新式认证(如下所述)更加适合。
集成到 Active Directory 环境时,macOS 将优先使用 Kerberos 进行所有认证活动。用户使用 Active Directory 账户登录 Mac 时,Active Directory 域控制器将请求 Kerberos 授权票据的票据 (TGT)。用户尝试使用支持 Kerberos 认证的域的任何服务或 App 时,TGT 用于请求该服务的票据,从而无需用户进行再次认证。如果设定策略以要求密码来取消屏幕保护程序,macOS 会尝试续期 TGT 直到认证成功。
若要让已 Kerberos 化的服务器正常工作,正向和反向域名系统 (DNS) 记录都应当准确。系统时钟时间也很重要,因为对于任何服务器和客户端而言,时钟偏差必须少于 5 分钟。使用“网络时间协议” (NTP) 服务(如 time.apple.com)来自动设定日期和时间是比较好的做法。
到此这篇消息认证码mac值(消息认证码算法)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/cjjbc/80708.html