Kerberos 是一种身份验证和密钥分发协议。它允许客户端和服务器等对等方(称为“安全主体”)相互证明其身份,并确保它们之间的后续通信安全。它需要称为“密钥分发中心”或 KDC 的身份验证服务器在网络上可用,以便进行身份验证,尽管并非每个成员都需要每次操作都访问 KDC(例如,服务器不需要联系一个 KDC,但客户端有),并且凭据通常被缓存,因此需要更少的网络往返。缓存机制以一种比缓存密码更安全的方式提供单点登录,因为缓存的凭据会在一段时间后过期并且不能用于更改密码。它还有一个内置的 Kerberos 安全域之间的联合概念,称为“领域”。Kerberos 的一大实际好处是它是同类系统中实现最普遍和可用的系统:它可以通过 SASL 和 GSSAPI 等抽象方案在各种协议中使用,并且这些在包括 Unix 在内的许多平台上广泛实现和窗户。适用于各种协议和应用程序(包括 IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP 等)的流行客户端和服务器支持 Kerberos,并且可以通过单一基础架构(在不同程度上)得到保护。它可以通过 SASL 和 GSSAPI 等抽象方案在各种协议中使用,并且这些在包括 Unix 和 Windows 在内的许多平台上广泛实现。适用于各种协议和应用程序(包括 IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP 等)的流行客户端和服务器支持 Kerberos,并且可以通过单一基础架构(在不同程度上)得到保护。它可以通过 SASL 和 GSSAPI 等抽象方案在各种协议中使用,并且这些在包括 Unix 和 Windows 在内的许多平台上广泛实现。适用于各种协议和应用程序(包括 IMAP、POP、SMTP、SSH、LDAP、Subversion、NFS、HTTP 等)的流行客户端和服务器支持 Kerberos,并且可以通过单一基础架构(在不同程度上)得到保护。
RADIUS 在单一协议中提供身份验证、授权和记帐 (“AAA”)。它主要用于路由器、交换机、VPN 网关、WiFi 接入点等网络设备,为管理访问和用户提供身份验证,然后还提供授权(允许用户做什么)和计费(动作记录)。身份验证通过各种通过 RADIUS 建立隧道的独立机制进行,例如 EAP、PEAP 和 MS-CHAP。
LDAP 是一种目录访问协议:LDAP 服务器存储有关通过 X.500 “可分辨名称”命名的节点的信息,与您在 X.509 公钥证书中看到的相同,例如“CN=Richard E. Silverman, ST=纽约,O=我的公司”。节点具有属性,LDAP 客户端以多种方式向服务器查询给定节点的属性,包括搜索节点名称空间的整个子树、模式匹配和指示应返回哪些属性的过滤器。
LDAP 是一种“身份验证协议”,这并不是它的主要目的,经常会让人感到困惑。这是因为许多需要验证用户名/密码对的系统都提供“LDAP 身份验证”作为一种方式。这意味着系统将联系 LDAP 服务器,使用提供的用户名和密码对其进行身份验证,然后直接断开连接而不发出 LDAP 目录查询。因此,它使用 LDAP 的安全性作为密码验证服务。这就像它使用 SSH 登录到给定主机,然后立即注销一样,使用登录成功或失败来验证用户的密码。
“Active Directory”是 Microsoft 营销、产品和技术术语。它不像上述术语那样指代单一协议;相反,它命名了一个包含多个协议(包括 Kerberos、LDAP 和 DNS)的总体系统,由“域控制器”实现,为 Windows 主机集合提供全面的安全、命名和管理服务。