Sdílet prostřednictvím

Protokol Kerberos v5

  • Článek

Ověřovací protokol Kerberos v5 má identifikátor ověřovací služby RPC_C_AUTHN_GSS_KERBEROS. Protokol Kerberos definuje, jak klienti komunikují se službou ověřování sítě a byla standardizována protokolem IETF (Internet Engineering Task Force) v září 1993 v dokumentu RFC 1510. Klienti získají lístky z centra KDC (Key Distribution Center) protokolu Kerberos a při navázání připojení tyto lístky předávají serverům. Lístky Protokolu Kerberos představují síťové přihlašovací údaje klienta.

Podobně jako NTLM používá protokol Kerberos k reprezentaci identity klienta název domény, uživatelské jméno a heslo. Počáteční lístek Kerberos získaný z KDC, když se uživatel přihlásí, je založený na šifrované hodnotě hash hesla uživatele. Tento počáteční lístek se ukládá do mezipaměti. Když se uživatel pokusí připojit k serveru, protokol Kerberos zkontroluje mezipaměť lístků pro platný lístek pro tento server. Pokud není k dispozici, počáteční lístek uživatele se odešle do služby KDC spolu s požadavkem na lístek pro zadaný server. Tento lístek relace se přidá do mezipaměti a dá se použít k připojení ke stejnému serveru, dokud nevyprší platnost lístku.

Když server volá CoQueryClientBlanket pomocí protokolu Kerberos, vrátí se název domény a uživatelské jméno klienta. Když server volá CoImpersonateClient, vrátí se token klienta. Toto chování je stejné jako při použití protokolu NTLM.

Protokol Kerberos funguje přes hranice počítače. Klientské i serverové počítače musí být v doménách a tyto domény musí mít vztah důvěryhodnosti.

Protokol Kerberos vyžaduje vzájemné ověřování a podporuje ho vzdáleně. Klient musí zadat hlavní název serveru a identita serveru se musí přesně shodovat s tímto hlavním názvem. Pokud klient určuje, NULL pro hlavní název serveru nebo pokud se hlavní název neshoduje se serverem, volání selže.

S protokolem Kerberos je možné použít úrovně zosobnění, zosobnění a delegování. Když server volá CoImpersonateClient, vrácený token je platný v počítači po určitou dobu mezi 5 minutami a 8 hodinami. Po této době ji lze použít pouze na serverovém počítači. Pokud je server "spuštěn jako aktivátor" a aktivace se provádí pomocí protokolu Kerberos, platnost tokenu serveru vyprší mezi 5 minutami a 8 hodin po aktivaci.

Ověřovací protokol Kerberos v5 implementovaný systémem Windows podporuje cloaking.

balíčky COM a balíčky zabezpečení