发信人: foolkey (大林), 信区: Windows
标  题: Windows 2000预览 28
发信站: 饮水思源站 (Wed Mar 31 13:25:45 1999) , 站内信件

　然后，当客户请求网络服务时，例如从服务器获取文件，

Kerberos用密钥与KDC连接，如果用户经过了KDC的认证，就会从KDC

获得一张门票，用于与特定的服务和资源建立连接。密钥在本地机

器上被缓存，如果用户以后再想访问同样服务，在该密钥的时间限

制内可以从缓存取得密钥。密钥常常是8小时内有效，Kerberos的主

要优势是客户对服务一定时间内的重复请求不必再次与KDC通信（见

下图）。 

　　简而言之，KDC以及它所在的域控制器节省了一个事务，减少了

负载，具备了更高的可伸缩性。在实验室里，我们验证了在客户重

复一个请求时，客户不需要再向KDC重新申请密钥。 

　　当然，Kerberos已经提出并在Unix世界应用好多年了。正是由

于意识到了这一点，Microsoft充分利用了它基于标准的特性，允许

非Windows Kerberos的用户通过动态目录进行认证，这使得Windows 

2000更容易在Unix的领地里获得立足点。另外，在Kerberos中加入

了扩展允许使用X.509数字证书的公钥，这种扩展将为支持智能卡认

证做出铺垫工作。

--
※ 修改:．cf 于 Aug 11 11:59:00 修改本文．[FROM: bbs.hit.edu.cn]
※ 转寄:．紫 丁 香 bbs.hit.edu.cn．[FROM: chen.hit.edu.cn]