Condividi tramite

Protocollo Kerberos v5

  • Articolo

Il protocollo di autenticazione Kerberos v5 ha un identificatore del servizio di autenticazione di RPC_C_AUTHN_GSS_KERBEROS. Il protocollo Kerberos definisce il modo in cui i client interagiscono con un servizio di autenticazione di rete ed è stato standardizzato dalla Internet Engineering Task Force (IETF) nel settembre 1993, nel documento RFC 1510. I client ottengono ticket dal centro di distribuzione chiave Kerberos (KDC, Kerberos Key Distribution Center) e quindi presentano questi ticket ai server durante la procedura di connessione. I ticket Kerberos rappresentano le credenziali di rete del client.

Come NTLM, il protocollo Kerberos usa il nome di dominio, il nome utente e la password per rappresentare l'identità del client. Il ticket Kerberos iniziale ottenuto dal KDC quando l'utente accede si basa su un hash crittografato della password dell'utente. Questo ticket iniziale viene memorizzato nella cache. Quando l'utente tenta di connettersi a un server, il protocollo Kerberos controlla la cache dei ticket per un ticket valido per tale server. Se non è disponibile, il ticket iniziale per l'utente viene inviato al KDC insieme a una richiesta di ticket per il server specificato. Tale ticket di sessione viene aggiunto alla cache e può essere usato per connettersi allo stesso server fino alla scadenza del ticket.

Quando un server chiama CoQueryClientBlanket usando il protocollo Kerberos, vengono restituiti il nome di dominio e il nome utente del client. Quando un server chiama CoImpersonateClient, viene restituito il token del client. Questi comportamenti sono uguali a quando si usa NTLM.

Il protocollo Kerberos funziona attraverso i limiti del computer. I computer client e server devono trovarsi entrambi in domini e tali domini devono avere una relazione di trust.

Il protocollo Kerberos richiede l'autenticazione reciproca e la supporta in remoto. Il client deve specificare il nome dell'entità del server e l'identità del server deve corrispondere esattamente al nome dell'entità. Se il client specifica NULL per il nome dell'entità del server o se il nome dell'entità non corrisponde al server, la chiamata avrà esito negativo.

Con il protocollo Kerberos, è possibile usare i livelli di rappresentazione, rappresentazione e delegato. Quando un server chiama CoImpersonateClient, il token restituito è valido per un periodo di tempo compreso tra 5 minuti e 8 ore. Dopo questo periodo, può essere usato solo nel computer server. Se un server è "eseguito come attivatore" e l'attivazione viene eseguita con il protocollo Kerberos, il token del server scadrà tra 5 minuti e 8 ore dopo l'attivazione.

Il protocollo di autenticazione Kerberos v5 implementato da Windows supporta il mantello.

Pacchetti COM e di sicurezza