Поделиться через

Microsoft Kerberos

  • Статья

Протокол Kerberosопределяет, как клиенты взаимодействуют со службой проверки подлинности сети. Клиенты получают билеты из Центра распространения ключей Kerberos (KDC), и они предоставляют эти билеты серверам при установке подключений. Билеты Kerberos представляют сетевые учетные данные клиента.

Сведения в этом разделе содержат теоретические сведения об использовании протокола Kerberos в процессе проверки подлинности. Это фоновая информация, которая может добавить в понимание разработчика о том, что происходит за кулисами в процессе SSPI, использующего протокол Kerberos версии 5.

Протокол проверки подлинности Kerberos предоставляет механизм взаимной проверки подлинности между сущностями перед созданием безопасного сетевого подключения. В этой документации два сущности называются клиентом и сервером, даже если безопасные сетевые подключения можно выполнять между серверами. Клиент и сервер также могут называться субъектов безопасности.

Протокол Kerberos предполагает, что транзакции между клиентами и серверами происходят в открытой сети, где большинство клиентов и многие серверы физически не защищены, и пакеты, перемещающиеся по сети, могут отслеживаться и изменяться по запросу. Предполагаемая среда похожа на сегодняшний Интернет, где злоумышленник может легко представлять себя как клиент или сервер, и может легко перехватываться или изменять обмен данными между законными клиентами и серверами.

В этом разделе приведены следующие сведения:

Приложение не должно напрямую обращаться кпакету безопасности Kerberos; Вместо этого он должен использовать пакет безопасности "Согласование". Согласование позволяет приложению использовать более сложные протоколы безопасности , если они поддерживаются системами, участвующими в проверке подлинности. В настоящее время пакет безопасности "Согласование" выбирается между Kerberos и NTLM. Согласование выбирает Kerberos, если он не может использоваться одной из систем, участвующих в проверке подлинности.