Microsoft Kerberos
A Kerberos protokoll határozza meg, hogy az ügyfelek hogyan használják a hálózati hitelesítési szolgáltatást. Az ügyfelek a Kerberos Key Distribution Centerből (KDC) szerzik be a jegyeket, és a kapcsolatok létesítésekor ezeket a jegyeket a kiszolgálóknak mutatják be. A Kerberos-jegyek az ügyfél hálózati hitelesítő adatait képviselik.
Az ebben a szakaszban található információk elméleti hátteret nyújtanak a Kerberos-protokoll hitelesítési folyamatokban való használatáról. Ezek olyan háttérinformációk, amelyek segítségével a fejlesztők megérthetik, hogy mi történik a háttérben egy Kerberos 5-ös verzió protokollt használó SSPI-folyamat során.
A Kerberos hitelesítési protokoll egy mechanizmust biztosít az entitások közötti kölcsönös hitelesítéshez a biztonságos hálózati kapcsolat létrehozása előtt. Ebben a dokumentációban a két entitást ügyfélnek és kiszolgálónak nevezzük annak ellenére, hogy biztonságos hálózati kapcsolatok hozhatók létre a kiszolgálók között. Az ügyfél és a kiszolgáló is nevezhető biztonsági tagoknak.
A Kerberos-protokoll feltételezi, hogy az ügyfelek és a kiszolgálók közötti tranzakciók olyan nyílt hálózaton történnek, ahol a legtöbb ügyfél és sok kiszolgáló fizikailag nem biztonságos, és a hálózaton áthaladó csomagok bármikor monitorozhatók és módosíthatók. A feltételezett környezet olyan, mint a mai internet, ahol a támadók könnyen jelenthetnek ügyfélként vagy kiszolgálóként, és könnyen lehallgathatják vagy illetéktelenül módosíthatják a megbízható ügyfelek és kiszolgálók közötti kommunikációt.
Ez a szakasz a következő információkat tartalmazza:
- alapszintű hitelesítési alapfogalmak
- Kerberos Subprotocols
- Kerberos-modell
- SSPI/Kerberos együttműködés a GSSAPI
Az alkalmazás nem férhet hozzá közvetlenül a Kerberos biztonsági csomaghoz; ehelyett a Egyeztetés biztonsági csomagot kell használnia. Az Egyeztetés lehetővé teszi, hogy az alkalmazás kihasználja a fejlettebb biztonsági protokollokat,, ha a hitelesítésben részt vevő rendszerek támogatják őket. Jelenleg az Egyeztetés biztonsági csomag Kerberos és az NTLM között választ. Az egyeztetés a Kerberost választja, kivéve, ha a hitelesítésben részt vevő egyik rendszer nem használhatja.