Freigeben über

Kerberos v5-Protokoll

  • Artikel

Das Kerberos v5-Authentifizierungsprotokoll verfügt über einen Authentifizierungsdienstbezeichner RPC_C_AUTHN_GSS_KERBEROS. Das Kerberos-Protokoll definiert, wie Clients mit einem Netzwerkauthentifizierungsdienst interagieren und von der Internet Engineering Task Force (IETF) im September 1993 im Dokument RFC 1510-standardisiert wurde. Clients erhalten Tickets vom Kerberos Key Distribution Center (KDC), und sie präsentieren diese Tickets für Server, wenn Verbindungen hergestellt werden. Kerberos-Tickets stellen die Netzwerkanmeldeinformationen des Clients dar.

Wie NTLM verwendet das Kerberos-Protokoll den Domänennamen, den Benutzernamen und das Kennwort, um die Identität des Clients darzustellen. Das anfängliche Kerberos-Ticket, das vom KDC abgerufen wird, wenn sich der Benutzer anmeldet, auf einem verschlüsselten Hash des Kennworts des Benutzers basiert. Dieses anfängliche Ticket wird zwischengespeichert. Wenn der Benutzer versucht, eine Verbindung mit einem Server herzustellen, überprüft das Kerberos-Protokoll den Ticketcache auf ein gültiges Ticket für diesen Server. Wenn ein Ticket nicht verfügbar ist, wird das ursprüngliche Ticket für den Benutzer zusammen mit einer Anforderung für ein Ticket für den angegebenen Server an den KDC gesendet. Dieses Sitzungsticket wird dem Cache hinzugefügt und kann verwendet werden, um eine Verbindung mit demselben Server herzustellen, bis das Ticket abläuft.

Wenn ein Server CoQueryClientBlanket mithilfe des Kerberos-Protokolls aufruft, werden der Domänenname und der Benutzername des Clients zurückgegeben. Wenn ein Server CoImpersonateClientaufruft, wird das Token des Clients zurückgegeben. Diese Verhaltensweisen sind identisch mit der Verwendung von NTLM.

Das Kerberos-Protokoll funktioniert über Computergrenzen hinweg. Client- und Servercomputer müssen sich beide in Domänen befinden, und diese Domänen müssen eine Vertrauensstellung aufweisen.

Das Kerberos-Protokoll erfordert eine gegenseitige Authentifizierung und unterstützt es remote. Der Client muss den Prinzipalnamen des Servers angeben, und die Identität des Servers muss exakt mit diesem Prinzipalnamen übereinstimmen. Wenn der Client NULL- für den Prinzipalnamen des Servers angibt oder der Prinzipalname nicht mit dem Server übereinstimmt, schlägt der Aufruf fehl.

Mit dem Kerberos-Protokoll können die Identitätswechselstufen identifizieren, identitätswechseln und delegieren. Wenn ein Server CoImpersonateClientaufruft, ist das zurückgegebene Token für einen bestimmten Zeitraum zwischen 5 Minuten und 8 Stunden vom Computer gültig. Nach dieser Zeit kann sie nur auf dem Servercomputer verwendet werden. Wenn ein Server als Aktivator ausgeführt wird und die Aktivierung mit dem Kerberos-Protokoll erfolgt, läuft das Token des Servers zwischen 5 Minuten und 8 Stunden nach der Aktivierung ab.

Das von Windows implementierte Kerberos v5-Authentifizierungsprotokoll unterstützt Manteln.

COM- und Sicherheitspakete