Protocolo Kerberos v5
O protocolo de autenticação Kerberos v5 tem um identificador de serviço de autenticação de RPC_C_AUTHN_GSS_KERBEROS. O protocolo Kerberos define como os clientes interagem com um serviço de autenticação de rede e foi padronizado pela Internet Engineering Task Force (IETF) em setembro de 1993, no documento RFC 1510. Os clientes obtêm tíquetes do Centro de Distribuição de Chaves (KDC) Kerberos e apresentam esses tíquetes para servidores quando as conexões são estabelecidas. Os tíquetes Kerberos representam as credenciais de rede do cliente.
Como NTLM, o protocolo Kerberos usa o nome de domínio, nome de usuário e senha para representar a identidade do cliente. O tíquete Kerberos inicial obtido do KDC quando o usuário faz logon é baseado em um hash criptografado da senha do usuário. Esse tíquete inicial é armazenado em cache. Quando o usuário tenta se conectar a um servidor, o protocolo Kerberos verifica o cache de tíquete em busca de um tíquete válido para esse servidor. Se um não estiver disponível, o tíquete inicial para o usuário é enviado ao KDC junto com uma solicitação de um tíquete para o servidor especificado. Esse tíquete de sessão é adicionado ao cache e pode ser usado para se conectar ao mesmo servidor até que o tíquete expire.
Quando um servidor chama CoQueryClientBlanket usando o protocolo Kerberos, o nome de domínio e o nome de usuário do cliente são retornados. Quando um servidor chama CoImpersonateClient, o token do cliente é retornado. Esses comportamentos são os mesmos que ao usar NTLM.
O protocolo Kerberos funciona além dos limites do computador. Os computadores cliente e servidor devem estar em domínios e esses domínios devem ter uma relação de confiança.
O protocolo Kerberos requer autenticação mútua e oferece suporte remoto. O cliente deve especificar o nome principal do servidor e a identidade do servidor deve corresponder exatamente a esse nome principal. Se o cliente especificar NULL para o nome principal do servidor ou se o nome principal não corresponder ao servidor, a chamada falhará.
Com o protocolo Kerberos, os níveis de representação identificam, representam e delegam podem ser usados. Quando um servidor chama CoImpersonateClient, o token retornado é válido fora do computador por algum período de tempo entre 5 minutos e 8 horas. Após esse tempo, ele pode ser usado apenas no computador servidor. Se um servidor for "executado como ativador" e a ativação for feita com o protocolo Kerberos, o token do servidor expirará entre 5 minutos e 8 horas após a ativação.
O protocolo de autenticação Kerberos v5 implementado pelo Windows oferece suporte a cloaking.
Tópicos relacionados