Kerberos是一种认证和密钥分发协议。它允许对等方(如客户端和服务器(称为“安全主体”))彼此证明自己的身份,并确保他们之间的后续通信。它要求身份验证服务器称为“密钥分发中心”或KDC,以便在网络上进行身份验证,但不是每个成员都需要每次操作都需要访问KDC(例如服务器不需要联系KDC,但客户端),并且凭据通常被缓存,因此需要更少的网络往返次数。缓存机制以比缓存密码更安全的方式提供单点登录,因为缓存的凭证会在一段时间后过期并且无法用于更改密码。它还在Kerberos安全域之间建立了一个内联的概念,称为“领域”。Kerberos的一个重大实际好处是,它是最广泛实施和可用的同类系统:它可用于各种通过SASL和GSSAPI等抽象方案实现协议,这些协议在包括Unix和Windows在内的许多平台上得到广泛应用。用于各种协议和应用程序(包括IMAP,POP,SMTP,SSH,LDAP,Subversion,NFS,HTTP等)的流行客户端和服务器都支持Kerberos,并且可以通过单一基础架构(在不同程度上)进行安全保护。
RADIUS在单个协议中提供认证,授权和记帐(“AAA”)。它主要被网络设备(如路由器,交换机,VPN网关,WiFi接入点等)用于为管理访问和用户提供身份验证,然后还提供授权(允许用户执行的操作)和记帐(记录行动)。身份验证通过各种通过RADIUS传输的独立机制发生,如EAP,PEAP和MS-CHAP。
LDAP是目录访问协议:关于通过X.500命名节点的LDAP服务器存储信息的“专有名称,”和你一样在X.509公钥证书,例如见“CN = Richard E. Silverman,ST = NY,O =我的公司”。节点具有属性,并且LDAP客户机以各种方式向服务器查询给定节点的属性,包括搜索节点名称空间的整个子树,模式匹配以及指示应返回哪些属性的过滤器。
关于LDAP是一种“认证协议”,通常存在一些混淆,这不是它的主要目的。这是因为许多需要验证用户名/密码对的系统提供“LDAP身份验证”作为一种方式。这意味着,该系统将与LDAP服务器,使用提供的用户名和密码进行身份验证,然后只需断开连接而不发出LDAP目录查询。因此,它使用LDAP的安全性作为密码验证服务。这是因为,如果它使用SSH登录到指定的主机,然后就立即注销,使用登录的成功或失败来验证用户的密码相同。
“活动目录”是Microsoft的营销,产品和技术术语。它并不是指像上述条款那样的单一协议;相反,它命名了一个由“域控制器”实现的由多个协议(包括Kerberos,LDAP和DNS)组成的总体系统,该域控制器为一系列Windows主机提供全面的安全,命名和管理服务。