Bagikan melalui

Protokol Kerberos v5

  • Artikel

Protokol autentikasi Kerberos v5 memiliki pengidentifikasi layanan autentikasi RPC_C_AUTHN_GSS_KERBEROS. Protokol Kerberos menentukan bagaimana klien berinteraksi dengan layanan autentikasi jaringan dan distandarkan oleh Internet Engineering Task Force (IETF) pada September 1993, dalam dokumen RFC 1510. Klien mendapatkan tiket dari Pusat Distribusi Kunci Kerberos (KDC), dan mereka menunjukkan tiket ini ke server ketika koneksi dibuat. Tiket Kerberos mewakili kredensial jaringan klien.

Seperti NTLM, protokol Kerberos menggunakan nama domain, nama pengguna, dan kata sandi untuk mewakili identitas klien. Tiket Kerberos awal yang diperoleh dari KDC ketika pengguna masuk didasarkan pada hash terenkripsi kata sandi pengguna. Tiket awal ini di-cache. Ketika pengguna mencoba menyambungkan ke server, protokol Kerberos memeriksa cache tiket untuk tiket yang valid untuk server tersebut. Jika tidak tersedia, tiket awal untuk pengguna dikirim ke KDC bersama dengan permintaan tiket untuk server yang ditentukan. Tiket sesi tersebut ditambahkan ke cache, dan dapat digunakan untuk terhubung ke server yang sama sampai tiket kedaluwarsa.

Saat server memanggil CoQueryClientBlanket menggunakan protokol Kerberos, nama domain dan nama pengguna klien dikembalikan. Ketika server memanggil CoImpersonateClient, token klien dikembalikan. Perilaku ini sama seperti saat menggunakan NTLM.

Protokol Kerberos berfungsi di seluruh batas komputer. Komputer klien dan server harus berada di domain, dan domain tersebut harus memiliki hubungan kepercayaan.

Protokol Kerberos memerlukan autentikasi bersama dan mendukungnya dari jarak jauh. Klien harus menentukan nama utama server, dan identitas server harus sama persis dengan nama utama tersebut. Jika klien menentukan null untuk nama utama server atau jika nama utama tidak cocok dengan server, panggilan akan gagal.

Dengan protokol Kerberos, tingkat peniruan mengidentifikasi, meniru, dan mendelegasikan dapat digunakan. Ketika server memanggil CoImpersonateClient, token yang dikembalikan valid dari komputer untuk beberapa periode waktu antara 5 menit dan 8 jam. Setelah waktu ini, hanya dapat digunakan pada komputer server. Jika server "dijalankan sebagai aktivator" dan aktivasi dilakukan dengan protokol Kerberos, token server akan kedaluwarsa antara 5 menit dan 8 jam setelah aktivasi.

Protokol autentikasi Kerberos v5 yang diterapkan oleh Windows mendukung penyelubungan .

PAKET COM dan Keamanan