Microsoft Kerberos
Протокол Kerberosопределяет, как клиенты взаимодействуют со службой проверки подлинности сети. Клиенты получают билеты из Центра распространения ключей Kerberos (KDC), и они предоставляют эти билеты серверам при установке подключений. Билеты Kerberos представляют сетевые учетные данные клиента.
Сведения в этом разделе содержат теоретические сведения об использовании протокола Kerberos в процессе проверки подлинности. Это фоновая информация, которая может добавить в понимание разработчика о том, что происходит за кулисами в процессе SSPI, использующего протокол Kerberos версии 5.
Протокол проверки подлинности Kerberos предоставляет механизм взаимной проверки подлинности между сущностями перед созданием безопасного сетевого подключения. В этой документации два сущности называются клиентом и сервером, даже если безопасные сетевые подключения можно выполнять между серверами. Клиент и сервер также могут называться субъектов безопасности.
Протокол Kerberos предполагает, что транзакции между клиентами и серверами происходят в открытой сети, где большинство клиентов и многие серверы физически не защищены, и пакеты, перемещающиеся по сети, могут отслеживаться и изменяться по запросу. Предполагаемая среда похожа на сегодняшний Интернет, где злоумышленник может легко представлять себя как клиент или сервер, и может легко перехватываться или изменять обмен данными между законными клиентами и серверами.
В этом разделе приведены следующие сведения:
- Основные понятия проверки подлинности
- Subprotocols Kerberos
- модель Kerberos
- взаимодействие SSPI/Kerberos с GSSAPI
Приложение не должно напрямую обращаться кпакету безопасности Kerberos; Вместо этого он должен использовать пакет безопасности "Согласование". Согласование позволяет приложению использовать более сложные протоколы безопасности , если они поддерживаются системами, участвующими в проверке подлинности. В настоящее время пакет безопасности "Согласование" выбирается между Kerberos и NTLM. Согласование выбирает Kerberos, если он не может использоваться одной из систем, участвующих в проверке подлинности.