黄金票据和白银票据

Kerberos使用背景

1、个人文件还是公司文件以及服务都存在于一台系统上，所有人都要去一台机器办公，效率非常低，为每个人分配了电脑以后就需要考虑安全问题
2、如何让服务器正确识别每一个人，假定所有数据包在传输过程中都可以被任意截取和修改
3、在每一台电脑上都存入所有人的账户密码是不现实的，所以引入一个认证服务统一管理所有的用户密码
4、假设用户访问邮件服务，认证服务让你提供密码以此来证明身份，它把你提供的密码和数据库中的密码相比较，通过认证，认证服务不会提供给你任何密码，不然下次你就可以不认证直接利用密码登录，认证服务会给你一张票，拿到票后，你把此票给邮件服务，以此来证明你的身份
5、需要解决的问题，每次使用还没有得到票的服务前，都必须给认证密码。比如使用邮件服务，就要输入一次。使用文件服务，又要输入一次。打印服务，还要输入一次，并且网络中明文传输密码。不法分子就可以监听网络流量获取密码。
6、引入"票据授权”服务(TGS)，TGS将代替认证服务的发票功能，以后认证服务不在提供票据，如果你有TGS发放的服务票证，可以使用此票对应的服务
7、如果你通过了认证服务的验证，将会得到一张票据授权票(TGT)，现在你想使用邮件服务，然而还没有邮件服务的票，所以你使用"票据授权"票去取邮件服务的票，"票据授权"票，可以使用此票获取你需要的其他服务票
8、解决密码明文传输，当你取得票据授权票时，不再发送密码，而只发送你的用户名，认证服务得到用户名以后用此用户名查你的密码，之后认证服务会制作一个包含票据授权票(TGT)的数据包，并且用你的密码加密此数据包，这样即使数据包被截取没有密码无法解密