Kerberos面试内容整理-Kerberos 与 LDAP/Active Directory 的集成

Kerberos 通常不会单独存在于企业环境中，而是与目录服务相结合以提供完整的身份管理方案。其中，Active Directory (AD) 是 Kerberos 集成应用的典型代表。Active Directory 是微软的目录服务，实现了 LDAP（轻量级目录访问协议）目录和 Kerberos 认证的融合。在 AD 域控制器上，LDAP 目录服务器和 Kerberos KDC 通常由同一台服务器提供。LDAP 负责存储域内的所有用户、组、计算机账户和其属性信息，而 Kerberos 负责对这些账户进行认证。换言之，AD 中用户的登录密码既用于 Kerberos 身份验证（生成用户密钥），也存储在目录中用于查询；当用户登录域时，Kerberos 验证其密码并颁发票据，同时 AD 的目录功能将该用户的组成员等信息提供给需要的服务，从而实现认证和授权的信息联动。