前面的文章说明了SMB协议交互的过程,在SMB交互的Session Setup Request/Response会对请求者的身份进行验证,这其中涉及到两个主要的协议NTLM以及Kerberos,NTLM协议在前面的文章中已经进行了说明,见这里,本文将对通过数据包Kerberos协议进行详细的分析。 作为专栏《计算机网络协议快速入门教程》中的一篇。
Kerberos是The Kerberos Network Authentication Service,对应的RFC见这里。Kerberos主要用于网络中的身份认证。微软实现并扩展了Kerberos协议,在windows域环境中用于身份工作组,域等等多种场景的身份认证。不同于NTLM协议,Kerberos不仅可以作为单独的上层协议而存在,也可以像NTLM协议那样嵌入到其他的协议之中。因此Kerberos可以直接工作在TCP和UDP之上,也可以被SMB,RPC等其他应用层协议调用,作为其身份认证的一部分。
在前面的讲述NTLM协议的文章,这里,服务端针对客户端的用户名和密码进行了验证。也就是服务器可以确认客户端的真假,但是客户端无法确认服务器的真假,这样就存在一定的安全隐患,客户端并不知道通信