Kerberos - 现实世界的例子？

Question

我知道 Kerberos 是如何工作的并理解它的目的，但我需要一些现实世界的例子，它适合什么地方，你用过它吗？

Answer 1

• Windows 2000 及更高版本使用 Kerberos 作为默认身份验证
  方法。微软的一些补充
  Kerberos 协议套件是
  记录在 RFC 3244“微软
  Windows 2000 Kerberos 更改密码
  并设置密码协议”。RFC 4757
  记录 Microsoft 对 RC4 的使用
  密码。虽然微软使用
  Kerberos协议，它不使用
  MIT 软件。

• 许多类 UNIX 操作系统，
  包括 FreeBSD、Apple 的 Mac OS X、
  红帽企业 Linux 4、Sun 的
  Solaris、IBM 的 AIX、HP 的 OpenVMS 以及
  其他，包括 Kerberos 软件
  用户或服务的身份验证。

来自维基百科，

如果您访问 http://www.kerberos.org/ ，Kerberos 联盟，他们有一份 pdf 文档，其赞助商为：

• Apple
• 卡内基梅隆大学
• 哥伦比亚
• 康奈尔大学
• Centrify Corporation
• 美国国防部
• 杜克大学
• 金融服务技术
  联盟
• Google
• 爱荷华州立大学
• 麻省理工
• 学院密歇根州立大学
• 微软
• NASA
• 宾夕法尼亚州立大学
• 斯坦福大学
• Sun Microsystems
• Team F1, Inc.
• 密歇根大学

表明，如果实施得当，它是有用途的。

请访问 http://k5wiki.kerberos.org/wiki/Main_Page 了解有关该联盟的更多信息。

Answer 2

我大学的计算机科学系使用它来验证通过 SSH 远程（通常从建筑物或系网络外部）登录 CS 系计算机的用户。

Answer 3

集成 Windows 身份验证的化身之一是基于 Kerberos 的。

Answer 4

Kerboros 广泛用于对 AFS 进行身份验证访问。 AFS 在高能物理实验中被大量使用。查看 openafs.org 网站上的站点示例列表。对于写入访问，您很可能需要单元的 Kerboros 令牌。

Answer 5

Kerberos 也是 Internet Explorer 在充当客户端时首选的身份验证机制。基本上 IE 有两个来自服务器 Negotiate/NTLM 的选项。如果 Kerberos 首先失败，则客户端将退回到 kerberos，这是 IE 的默认行为。

Answer 6

当今主要 Linux/Unix 平台（Debian、Ubuntu、Red Hat、OS X 等）中的各种软件都内置了 GSSAPI/Kerberos 支持。在我工作的地方，我们在 Linux、Solaris、OS X 和 Windows 之间集成了跨平台身份验证，包括以下应用程序：

• Chrome
• IE
• Firefox
• OpenSSH
• PuTTY
• Cyrus IMAP 服务器
• sendmail
• OpenLDAP
• DC LDAP
• Mail.app
• Thunderbird
• Subversion
• NFS
• Samba
• NetApp
• SQL Server
• Apache
• 雄猫

...以及其他。在任何平台上使用单一密码登录即可访问所有这些内容，包括通过凭证转发（例如通过 SSH）传递。