Microsoft Kerberos
Protokol kerberos definuje, jak klienti komunikují se službou ověřování sítě. Klienti získají lístky z centra KDC (Key Distribution Center) protokolu Kerberos a při navázání připojení tyto lístky předávají serverům. Lístky protokolu Kerberos představují síťové přihlašovací údaje klienta.
Informace v této části poskytují teoretickou základní informace o použití protokolu Kerberos v procesu ověřování. Jedná se o základní informace, které můžou vývojáři porozumět tomu, co se děje na pozadí v procesu SSPI, který používá protokol Kerberos verze 5.
Ověřovací protokol Kerberos poskytuje mechanismus vzájemného ověřování mezi entitami před navázáním zabezpečeného síťového připojení. V této dokumentaci se tyto dvě entity nazývají klient a server, i když je možné mezi servery provádět zabezpečená síťová připojení. Klient i server lze také značovat jako objekty zabezpečení.
Protokol Kerberos předpokládá, že transakce mezi klienty a servery probíhají v otevřené síti, kde většina klientů a mnoho serverů není fyzicky zabezpečené a pakety putující po síti je možné monitorovat a upravovat podle potřeby. Předpokládá se, že prostředí je podobné dnešnímu internetu, kde útočník může snadno představovat klienta nebo server a může snadno odposlouchá nebo manipulovat s komunikací mezi legitimními klienty a servery.
Tato část obsahuje následující informace:
- koncepty základního ověřování
- dílčích protokolů Kerberos
- modelu kerberos
- interoperabilita SSPI/Kerberos s GSSAPI
Aplikace by neměla přistupovat k balíčku zabezpečení protokolu Kerberos přímo; místo toho by měl použít balíček zabezpečení Negotiate. Negotiate umožňuje vaší aplikaci využívat pokročilejší protokoly zabezpečení , pokud jsou podporovány systémy, které se týkají ověřování. V současné době balíček zabezpečení Negotiate vybere mezi Kerberos a NTLM. Vyjednává výběr protokolu Kerberos, pokud ho nemůže používat některý ze systémů zapojených do ověřování.