Översikt över Kerberos-autentisering
Kerberos är ett autentiseringsprotokoll som används för att verifiera identiteten för en användare eller värd. Det här avsnittet innehåller information om Kerberos-autentisering i Windows Server 2012 och Windows 8.
Funktionsbeskrivning
Windows Server-operativsystemen implementerar Kerberos version 5-autentiseringsprotokoll och tillägg för autentisering med offentliga nycklar, transport av auktoriseringsdata och delegering. Kerberos-autentiseringsklienten implementeras som en SSP (Security Support Provider) och kan nås via SSPI (Security Support Provider Interface). Den första användarautentiseringen är integrerad med winlogon-arkitekturen för enkel inloggning.
Kerberos Key Distribution Center (KDC) är integrerat med andra Windows Server-säkerhetstjänster som körs på domänkontrollanten. KDC använder domänens Active Directory Domain Services-databas som säkerhetskontodatabas. Active Directory Domain Services krävs för kerberos-standardimplementeringar i domänen eller skogen.
Praktiska tillämpningar
Fördelarna med att använda Kerberos för domänbaserad autentisering är:
Delegerad autentisering.
Tjänster som körs på Windows-operativsystem kan personifiera en klientdator vid åtkomst till resurser för klientens räkning. I många fall kan en tjänst slutföra sitt arbete för klienten genom att komma åt resurser på den lokala datorn. När en klientdator autentiserar till tjänsten tillhandahåller NTLM- och Kerberos-protokollet den auktoriseringsinformation som en tjänst behöver för att personifiera klientdatorn lokalt. Vissa distribuerade program är dock utformade så att en klientdelstjänst måste använda klientdatorns identitet när den ansluter till serverdelstjänster på andra datorer. Kerberos-autentisering stöder en delegeringsmekanism som gör det möjligt för en tjänst att agera för klientens räkning när den ansluter till andra tjänster.
enkel inloggning.
Om du använder Kerberos-autentisering inom en domän eller i en skog kan användaren eller tjänsten få åtkomst till resurser som tillåts av administratörer utan flera begäranden om autentiseringsuppgifter. Efter den första domäninloggningen via Winlogon hanterar Kerberos autentiseringsuppgifterna i hela skogen när åtkomst till resurser görs.
Interoperabilitet.
Microsofts implementering av Kerberos V5-protokollet baseras på standardspårspecifikationer som rekommenderas av Internet Engineering Task Force (IETF). Därför lägger Kerberos-protokollet i Windows-operativsystem en grund för samverkan med andra nätverk där Kerberos-protokollet används för autentisering. Dessutom publicerar Microsoft Dokumentation om Windows-protokoll för implementering av Kerberos-protokollet. Dokumentationen innehåller tekniska krav, begränsningar, beroenden och Windows-specifika protokollbeteenden för Microsofts implementering av Kerberos-protokollet.
Effektivare autentisering till servrar.
Innan Kerberos kan NTLM-autentisering användas, vilket kräver att en programserver ansluter till en domänkontrollant för att autentisera varje klientdator eller tjänst. Med Kerberos-protokollet ersätter förnyelsebara sessionsbiljetter direktautentisering. Servern behöver inte gå till en domänkontrollant (såvida den inte behöver verifiera ett Privilege Attribute Certificate (PAC)). I stället kan servern autentisera klientdatorn genom att undersöka autentiseringsuppgifter som presenteras av klienten. Klientdatorer kan hämta autentiseringsuppgifter för en viss server en gång och sedan återanvända dessa autentiseringsuppgifter under en nätverksinloggningssession.
Ömsesidig autentisering.
Genom att använda Kerberos-protokollet kan en part i endera änden av en nätverksanslutning verifiera att parten i den andra änden är den entitet som den påstår sig vara. NTLM gör det inte möjligt för klienter att verifiera en servers identitet eller aktivera en server för att verifiera en annans identitet. NTLM-autentisering har utformats för en nätverksmiljö där servrar antogs vara äkta. Kerberos-protokollet gör inget sådant antagande.