Freigeben über

Microsoft Kerberos

  • Artikel

Das Kerberos-Protokoll definiert, wie Clients mit einem Netzwerkauthentifizierungsdienst interagieren. Clients erhalten Tickets vom Kerberos Key Distribution Center (KDC), und sie präsentieren diese Tickets für Server, wenn Verbindungen hergestellt werden. Kerberos-Tickets stellen das Netzwerk Anmeldeinformationen des Clientsdar.

Informationen in diesem Abschnitt enthalten theoretischen Hintergrund zur Verwendung des Kerberos-Protokolls in einem Authentifizierungsprozess. Dies sind Hintergrundinformationen, die einem Entwickler das Verständnis darüber hinzufügen können, was im Hintergrund in einem SSPI-Prozess geschieht, der das Kerberos Version 5-Protokoll verwendet.

Das Kerberos-Authentifizierungsprotokoll stellt einen Mechanismus für die gegenseitige Authentifizierung zwischen Entitäten bereit, bevor eine sichere Netzwerkverbindung hergestellt wird. In dieser Dokumentation werden die beiden Entitäten als Client und Server bezeichnet, obwohl sichere Netzwerkverbindungen zwischen Servern hergestellt werden können. Client und Server können auch als Sicherheitsprinzipalebezeichnet werden.

Das Kerberos-Protokoll geht davon aus, dass Transaktionen zwischen Clients und Servern in einem offenen Netzwerk stattfinden, in dem die meisten Clients und viele Server nicht physisch sicher sind, und Pakete, die entlang des Netzwerks unterwegs sind, überwacht und geändert werden können. Die angenommene Umgebung ist wie das heutige Internet, in dem ein Angreifer einfach als Client oder Server darstellen kann und leicht abhört oder die Kommunikation zwischen legitimen Clients und Servern manipuliert.

Dieser Abschnitt enthält die folgenden Informationen:

Ihre Anwendung sollte nicht direkt auf das Kerberos-Sicherheits paket zugreifen; Stattdessen sollte das Aushandeln Sicherheitspakets verwendet werden. Aushandeln ermöglicht Es Ihrer Anwendung, erweiterte Sicherheitsprotokolle zu nutzen, wenn sie von den an der Authentifizierung beteiligten Systemen unterstützt werden. Derzeit wählt das Sicherheitspaket "Aushandeln" zwischen Kerberos- und NTLM aus. Aushandeln wählt Kerberos aus, es sei denn, sie kann nicht von einem der systeme verwendet werden, die an der Authentifizierung beteiligt sind.