想澄清一些GSS-API kerberos編程的一般概念

Question

我是GSS-API的新手。我正在一個項目中，他的目標是制定一個KERBEROS實施方案。
我讀了MIT的應用程序開發人員文檔 - http://web.mit.edu/kerberos/krb5-latest/doc/appdev/index.html鏈接。
並且還讀取RFC-2744 GSS-API C BINDINGS。

我的問題是，
* Kerberos協議由OF-
AS-REQ，AS-REP，TGS_REQ，TGS-REP，AP-REQ，AP-REP
* GSS-API由的 - （如gss_acquire_cred）
憑證管理程序，上下文級的程序（如則gss_init_sec_context）等

如何利用GSS-API程序來實現的Kerberos？
因爲，我看不到任何生產例程，TIMESTAMP嵌入例程等在kerberos中？

在此先感謝。

Answer 1

首先，首先，gss-api是（通用安全服務api）。它被實現爲kerberos api之上的一個圖層。請記住，gssapi不需要使用kerberos（它也可以輕鬆使用其他身份驗證協議）。

GSS-API沒有辦法獲得TGT。這是通過kerberos api完成的（你可以編寫一些基於krb5 api的代碼來獲得kerberos的信譽，然後轉換爲gsscred）

上下文是由雙方（auth發起者和接受者）維護的對象。它們通過使用gss_init_sec_context（啓動器端調用）和gss_accept_sec_context（acceptor端）進行更新。在Kerberos的情況下，它基本上是使用TGT，ST等的全部過程，然後最終建立信任和共享會話密鑰。

所以要回答你的問題 - 你不使用GSS-API來實現Kerberos功能。這是相反的方式。