Dela via


Kerberos v5-protokoll

Kerberos v5-autentiseringsprotokollet har en autentiseringstjänstidentifierare för RPC_C_AUTHN_GSS_KERBEROS. Kerberos-protokollet definierar hur klienter interagerar med en nätverksautentiseringstjänst och standardiserades av IETF (Internet Engineering Task Force) i september 1993 i dokumentet RFC 1510. Klienter får biljetter från Kerberos Key Distribution Center (KDC) och de presenterar dessa biljetter för servrar när anslutningar upprättas. Kerberos-biljetter representerar klientens autentiseringsuppgifter för nätverket.

Precis som NTLM använder Kerberos-protokollet domännamnet, användarnamnet och lösenordet för att representera klientens identitet. Den första Kerberos-biljetten som hämtas från KDC när användaren loggar in baseras på en krypterad hash för användarens lösenord. Den här första biljetten cachelagras. När användaren försöker ansluta till en server kontrollerar Kerberos-protokollet biljettcachen efter ett giltigt ärende för servern. Om en inte är tillgänglig skickas den första biljetten för användaren till KDC tillsammans med en begäran om ett ärende för den angivna servern. Sessionsbiljetten läggs till i cacheminnet och kan användas för att ansluta till samma server tills biljetten upphör att gälla.

När en server anropar CoQueryClientBlanket med Kerberos-protokollet returneras klientens domännamn och användarnamn. När en server anropar CoImpersonateClientreturneras klientens token. Dessa beteenden är desamma som när du använder NTLM.

Kerberos-protokollet fungerar över datorgränser. Både klient- och serverdatorerna måste finnas i domäner och dessa domäner måste ha en förtroenderelation.

Kerberos-protokollet kräver ömsesidig autentisering och stöder det via fjärranslutning. Klienten måste ange huvudnamnet för servern och serverns identitet måste matcha det huvudnamnet exakt. Om klienten anger NULL- för serverns huvudnamn eller om huvudnamnet inte matchar servern misslyckas anropet.

Med Kerberos-protokollet kan personifieringsnivåerna identifiera, personifiera och delegera användas. När en server anropar CoImpersonateClientär den token som returneras giltig från datorn under en tidsperiod mellan 5 minuter och 8 timmar. Efter den här tiden kan den endast användas på serverdatorn. Om en server "körs som aktivator" och aktiveringen görs med Kerberos-protokollet upphör serverns token att gälla mellan 5 minuter och 8 timmar efter aktiveringen.

Kerberos v5-autentiseringsprotokollet som implementeras av Windows stöder kamouflage.

COM- och säkerhetspaket