2.3.5  kerberos體系

1.單點登錄與Kerberos認證協議

隨著信息技術及其應用的不斷普及，用戶每天需要登錄到許多不同的信息系統，如： Web服務器、郵件服務器、數據庫服務器及各種應用服務器等。傳統的認證機制采用基于用戶名／密碼的分散管理，即用戶通過網絡世界的身份標識來訪問各種資源，這些身份標識是分別被每個系統保存，無法相互傳遞。因此，用戶必須在每個系統中都有一組用戶名和密碼，在進入不同系統時都需要進行認證。一方面基于用戶名／密碼的認證方式安全強度不高，另一方面大量的用戶名／密碼給用戶帶來了額外的安全管理問題，為此，人們希望設計一種在網絡資源使用過程中更為高效、安全并且簡便的認證機制，單點登錄技術由此產生。

單點登錄就是指用戶只需在網絡中進行一次身份認證，便可以訪問其授權的所有網絡資源，而不再需要其它的身份認證過程，實質是安全憑證在多個應用系統之間的傳遞或共享。 這里所指的網絡資源可以是各種共享的硬件設備，也可以是各種應用程序和數據等。