Kerberos Authentication Overview
Kerberos 是用來驗證使用者或主機身分識別的驗證通訊協定。 本主題包含 Windows Server 2012 和 Windows 8 中 Kerberos 驗證的相關資訊。
功能描述
Windows Server 作業系統會針對公開金鑰驗證、傳輸授權資料及委派,實作 Kerberos 第 5 版的驗證通訊協定和延伸。 Kerberos 驗證用戶端是實作為安全性支援提供者 (SSP),而且可以透過安全性支援提供者介面 (SSPI) 進行存取。 初始使用者驗證與 Winlogon 單一登入架構整合。
Kerberos 金鑰發佈中心 (KDC) 則與網域控制站上執行的其他 Windows Server 安全性服務整合。 KDC 使用網域的 Active Directory 網域服務資料庫作為其安全性帳戶資料庫。 在網域或樹系中實作預設的 Kerberos 時,需要 Active Directory 網域服務。
實際應用
針對網域型驗證使用 Kerberos 取得的優勢包括:
委派的驗證。
在 Windows 作業系統上執行的服務在代表用戶端存取資源時,會模擬用戶端電腦。 在許多情況下,服務可以透過存取本機電腦上的資源,為用戶端完成其工作。 當向服務驗證用戶端電腦時,NTLM 和 Kerberos 通訊協定會提供服務需要的授權資訊,以在本機模擬用戶端電腦。 不過,有些分散式應用程式經過設計,因此,當連接至其他電腦上的後端服務時,前端服務必須使用用戶端電腦的身分識別。 Kerberos 驗證支援委派機制,讓服務在連接至其他服務時代表其用戶端。
單一登入。
在網域內或樹系中使用 Kerberos 驗證,可以讓使用者或服務存取系統管理員允許的資源,而不用認證的多個要求。 透過 Winlogon 初始登入網域之後,每當資源被嘗試存取時,Kerberos 會管理整個樹系的認證。
互通性。
Kerberos V5 通訊協定的實作是以標準追蹤規格為基礎,也就是向網際網路工程任務推動小組 (IETF) 建議的規格。 因此,在 Windows 作業系統中,Kerberos 通訊協定為 Kerberos 通訊協定用於驗證所在的其他網路互通性立下基礎。 此外,Microsoft 發行 Windows 通訊協定文件,以實作 Kerberos 通訊協定。 文件包含 Microsoft 實作 Kerberos 通訊協定的技術需求、限制、相依性和 Windows 特定通訊協定行為。
向伺服器驗證更有效率。
在 Kerberos 之前,也可以使用 NTLM 驗證,這需要連線到網域控制站的應用程式伺服器,來驗證每個用戶端電腦或服務。 使用 Kerberos 通訊協定,可更新的工作階段票證取代傳遞驗證。 伺服器不需要移至網域控制站 (除非它需要驗證權限屬性憑證 (PAC))。 伺服器可以透過檢查用戶端所呈現的認證,驗證該用戶端電腦。 用戶端電腦可以取得一次特定伺服器的認證,然後在整個網路登入工作階段重複使用這些認證。
相互驗證。
在網路連線任一端的一方可以使用 Kerberos 通訊協定來驗證另一端的一方是它所宣稱的實體。 NTLM 不會讓用戶端驗證伺服器的身分識別,或者讓某部伺服器驗證另一部伺服器的身分識別。 NTLM 驗證是針對假設伺服器為正版的網路環境所設計。 Kerberos 通訊協定不會做這種假設。