Udostępnij za pośrednictwem

Protokół Kerberos v5

  • Artykuł

Protokół uwierzytelniania Kerberos v5 ma identyfikator usługi uwierzytelniania RPC_C_AUTHN_GSS_KERBEROS. Protokół Kerberos definiuje sposób interakcji klientów z usługą uwierzytelniania sieciowego i został ustandaryzowany przez Internet Engineering Task Force (IETF) we wrześniu 1993 r. w dokumencie RFC 1510. Klienci uzyskują bilety z centrum dystrybucji kluczy Protokołu Kerberos (KDC) i przedstawiają te bilety serwerom podczas nawiązywania połączeń. Bilety protokołu Kerberos reprezentują poświadczenia sieciowe klienta.

Podobnie jak NTLM, protokół Kerberos używa nazwy domeny, nazwy użytkownika i hasła do reprezentowania tożsamości klienta. Początkowy bilet protokołu Kerberos uzyskany z centrum dystrybucji kluczy, gdy użytkownik loguje się na podstawie zaszyfrowanego skrótu hasła użytkownika. Ten początkowy bilet jest buforowany. Gdy użytkownik próbuje nawiązać połączenie z serwerem, protokół Kerberos sprawdza pamięć podręczną biletów dla prawidłowego biletu dla tego serwera. Jeśli jeden z nich nie jest dostępny, początkowy bilet dla użytkownika jest wysyłany do centrum dystrybucji kluczy wraz z żądaniem biletu dla określonego serwera. Ten bilet sesji jest dodawany do pamięci podręcznej i może służyć do łączenia się z tym samym serwerem do momentu wygaśnięcia biletu.

Gdy serwer wywołuje CoQueryClientBlanket przy użyciu protokołu Kerberos, zwracana jest nazwa domeny klienta i nazwa użytkownika. Gdy serwer wywołuje CoImpersonateClient, zwracany jest token klienta. Te zachowania są takie same jak w przypadku korzystania z protokołu NTLM.

Protokół Kerberos działa w granicach komputera. Komputery klienckie i serwerowe muszą znajdować się w domenach, a te domeny muszą mieć relację zaufania.

Protokół Kerberos wymaga wzajemnego uwierzytelniania i obsługuje go zdalnie. Klient musi określić główną nazwę serwera, a tożsamość serwera musi być dokładnie zgodna z tą główną nazwą. Jeśli klient określa null dla głównej nazwy serwera lub jeśli główna nazwa nie jest zgodna z serwerem, wywołanie zakończy się niepowodzeniem.

W przypadku protokołu Kerberos można używać poziomów personifikacji, personifikacji i delegata. Gdy serwer wywołuje CoImpersonateClient, zwrócony token jest ważny poza komputerem przez pewien czas od 5 minut do 8 godzin. Po tym czasie można go używać tylko na komputerze serwera. Jeśli serwer jest "uruchamiany jako aktywacja", a aktywacja odbywa się przy użyciu protokołu Kerberos, token serwera wygaśnie od 5 minut do 8 godzin po aktywacji.

Protokół uwierzytelniania Kerberos w wersji 5 implementowany przez system Windows obsługuje klonowanie.

com i pakiety zabezpieczeń