Хочу уточнить некоторые общие концепции программирования Kerberos GSS-API
Я новичок в GSS-API. И я нахожусь в проекте, целью которого является внедрение KERBEROS.
Я прочитал документацию разработчиков приложений в MIT — http://web.mit.edu/kerberos/krb5-latest/doc/appdev/index.html ссылка на сайт.
А также прочтите RFC-2744 GSS-API C СВЯЗИ.
Мой вопрос
* Протокол KERBEROS состоит из-
AS-REQ, AS-REP, TGS_REQ, TGS-REP, AP-REQ, AP-REP
* GSS-API состоит из —
процедуры управления учетными данными (например, gss_acquire_cred), процедуры уровня контекста (например, gss_init_sec_context) и т. д.
Как использовать подпрограммы GSS-API для реализации kerberos?
Поскольку я не вижу каких-либо подпрограмм, производящих TICKET, подпрограмм встраивания TIMESTAMP и т. Д., Которые есть в Kerberos?
Заранее спасибо.
Решение
Хорошо, во-первых, gss-api (общие службы безопасности api). Он реализован в виде слоя над Kerberos API. Помните, что gssapi не должен использовать kerberos (он также может легко использовать какой-нибудь другой протокол аутентификации).
GSS-API не имеет способа получить TGT. Это делается с помощью Kerberos API (вы можете написать код на основе API krb5, чтобы получить кредит Kerberos, а затем преобразовать в Gsscred)
Контекст — это объект, поддерживаемый обеими сторонами (инициатор аутентификации и акцептор). Они обновляются с помощью gss_init_sec_context (вызов на стороне инициатора) и gss_accept_sec_context (на стороне получателя). В случае с Kerberos это в основном весь процесс использования TGT, ST и т. Д., А затем, наконец, установления доверия и совместного использования ключа сеанса.
Итак, чтобы ответить на ваш вопрос — вы не используете GSS-API для реализации функций Kerberos. Это наоборот.
Другие решения
Других решений пока нет …