Kerberos提供的在不同辖区间进行鉴别的机制有哪些？

一个完整的Kerberos环境包括一个Kerberos服务器，一组工作站和一组应用服务器，满足下列要求：

(1) Kerberos服务器必须在其数据库中拥有所有参与用户的ID(UID)和口令散列表，所有用户均在Kerberos服务器上注册。

(2) Kerberos服务器必须与每一个服务器之间共享一个保密密钥，所有服务器均在Kerberos服务器上注册。

这样的环境被视为一个辖区(Realm)。

Kerberos提供了一种支持不同辖区间鉴别的机制：每一个辖区的Kerberos服务器与其他辖区内的Kerberos服务器之间共享一个保密密钥，两个Kerberos服务器互相注册。

这个方法存在的—个问题是对于大量辖区之间的认证，可扩缩性不好。如果有N个辖区，那么需要N(N一1)/2个安全密钥交换，以便使每个Kerberos能够与其他所有的Kerberos辖区进行互操作。