CISSP Kerberos练习题

Kerberos工作原理

一、The Kerberos login process works as follows:

1. The user types a username and password into the client.

2. The client encrypts the username with AES for transmission to the KDC.

3. The KDC verifies the username against a database of known credentials.

4. The KDC generates a symmetric key that will be used by the client and the Kerberos server. It encrypts this with a hash of the user’s password. The KDC also generates an encrypted timestamped TGT.

5. The KDC then transmits the encrypted symmetric key and the encrypted timestamped TGT to the client.

6. The client installs the TGT for use until it expires. The client also decrypts the symmetric key using a hash of the user’s password.

一、Kerberos登录过程的工作原理如下。

1. 用户在客户端输入一个用户名和密码。

2. 客户端用 AES 对用户名进行加密，以便传输到 KDC。

3. KDC根据已知的证书数据库来验证用户名。

4. KDC 产生一个对称密钥，供客户和 Kerberos 服务器使用。服务器使用的对称密钥。它用用户密码的哈希值对它进行加密。KDC 还会生成一个 加密的带时间戳的 TGT。

5. 5. 然后，KDC 将加密的对称密钥和加密的带时间戳的 TGT 传递给客户。

6. 6. 客户端安装 TGT 以供使用，直至其过期。客户端还使用用户的哈希值对对称密钥进行解密。

-----------------------------------------------------------------------------------------------------------------

Note that the client’s password is never transmitted over the network, but it is verified. The server encrypts a symmetric key using a hash of the user’s password, and it can only be decrypted with a hash of the user’s password. As long as the user enters the correct password, this step works. However, it fails if the user enters the incorrect password.

请注意，客户的密码永远不会在网络上传输。但它是被验证的。服务器使用用户密码的哈希值对对称密钥进行加密。，并且只能用用户密码的哈希值来解密它。只要用户输入了正确的密码，就会成功。但是，如果用户输入了错误的密码，就会失败。

-----------------------------------------------------------------------------------------------------------------

二、When a client wants to access an object, such as a resource hosted on the network, it must request a ticket through the Kerberos server. The following steps are involved in this process:

1. The client sends its TGT back to the KDC with a request for access to the resource.

2. The KDC verifies that the TGT is valid and checks its access control matrix to verify that the user has sufficient privileges to access the requested resource.

3. The KDC generates a service ticket and sends it to the client.

4. The client sends the ticket to the server or service hosting the resource.

5. The server or service hosting the resource verifies the validity of the ticket

with the KDC.

6. Once identity and authorization are verified, Kerberos activity is complete. The server or service host then opens a session with the client and begins communications or data transmission.

二、当一个客户想要访问一个对象，比如网络上的资源，它必须通过Kerberos服务器申请一个票据。在这个过程中涉及以下步骤。

1. 客户端将其 TGT 发送回 KDC 并请求访问该资源。

2. KDC 检验 TGT 是否有效，并检查其访问控制矩阵以验证用户有足够的权限来访问请求的资源。

3. KDC 生成一个服务票据并将其发送给客户。

4. 客户端将该票据发送给托管该资源的服务器或服务。

5. 托管资源的服务器或服务向 KDC 验证票据的有效性。(与 KDC 进行验证。)

6. 一旦身份和授权得到验证，Kerberos 活动就完成了。服务器或服务主机与客户打开一个会话，并开始通信或数据传输。

三、练习题

1、利用kerberos身份验证和授权的知识，以及图来回答57-59。如果客户机已经向KDC进行了身份验证，那么当客户机工作站想要访问资源时，会在A点向KDC发送什么？

A、它会重新发送密码        B、TGR        C、它的TGT        D、服务票

正确答案：C

答案解析：客户端将现有的有效TGT发送给KDC，并请求访问资源。

2、在步骤A和B之间发生了什么？

A、KDC验证TGT的有效性以及用户是否具有请求资源的正确权限。

B、KDC根据TGT中的数据更新其访问控制列表。

C、KDC检查其服务列表，并根据服务请求准备更新的TGT。

D、KDC生成一个服务票据发送给客户机。

正确答案：A

答案解析：KDC必须验证TGT是否有效，以及用户是否具有访问其请求访问的服务的权限。如果有，它将生成一个服务票据并将其发送给客户端。（步骤B）

3、正在访问的服务使用什么系统来验证票据？

A、KDC                                                                        B、客户端工作站和KDC       

C、客户端使用客户端/服务器票据以及验证器              D、KVS

正确答案：C

答案解析：客户端使用一个客户端/服务器的票证来授予服务。

4、服务票据（ST）在kerberos身份验证中提供了什么？

A、它充当身份验证主机            B、它提供了主体被授权访问客体的证据

C、它提供了主体通过KDC进行身份验证的证据，并且可以请求票据来访问其它对象

D、它提供票据许可服务（TGS）

正确答案：B

答案解析：ST提供了主体被授权访问客体的证据。TGS提供票据许可服务。