Partager via

Microsoft Kerberos

  • Article

Le protocole Kerberos définit la façon dont les clients interagissent avec un service d’authentification réseau. Les clients obtiennent des tickets à partir du Centre de distribution de clés Kerberos (KDC) et présentent ces tickets aux serveurs lorsque les connexions sont établies. Les tickets Kerberos représentent le réseau du client informations d’identification.

Les informations contenues dans cette section fournissent des informations théoriques sur l’utilisation du protocole Kerberos dans un processus d’authentification. Il s’agit d’informations générales qui peuvent être ajoutées à la compréhension par le développeur de ce qui se passe en arrière-plan dans un processus SSPI qui utilise le protocole Kerberos Version 5.

Le protocole d’authentification Kerberos fournit un mécanisme d’authentification mutuelle entre les entités avant l’établissement d’une connexion réseau sécurisée. Dans cette documentation, les deux entités sont appelées client et serveur, même si des connexions réseau sécurisées peuvent être établies entre les serveurs. Le client et le serveur peuvent également être appelés principaux de sécurité.

Le protocole Kerberos part du principe que les transactions entre les clients et les serveurs se produisent sur un réseau ouvert où la plupart des clients et de nombreux serveurs ne sont pas physiquement sécurisés, et les paquets qui transitent le long du réseau peuvent être surveillés et modifiés à l’occasion. L’environnement supposé est comme Internet d’aujourd’hui, où un attaquant peut facilement poser comme un client ou un serveur, et peut facilement écouter ou falsifier les communications entre les clients légitimes et les serveurs.

Cette section fournit les informations suivantes :

Votre application ne doit pas accéder directement au package de sécurité Kerberos ; Au lieu de cela, il doit utiliser le package de sécurité Négocier. Negotiate permet à votre application de tirer parti des protocoles de sécurité plus avancés s’ils sont pris en charge par les systèmes impliqués dans l’authentification. Actuellement, le package de sécurité Negotiate sélectionne entre Kerberos et NTLM. Negotiate sélectionne Kerberos, sauf s’il ne peut pas être utilisé par l’un des systèmes impliqués dans l’authentification.