Condividi tramite


Microsoft Kerberos

Il protocollo Kerberos definisce il modo in cui i client interagiscono con un servizio di autenticazione di rete. I client ottengono ticket dal Centro distribuzione chiavi Kerberos (KDC) e presentano questi ticket ai server quando vengono stabilite le connessioni. I ticket Kerberos rappresentano le credenziali di rete del client.

Le informazioni contenute in questa sezione illustrano in teoria l'uso del protocollo Kerberos in un processo di autenticazione. Si tratta di informazioni di base che possono essere aggiunte alla comprensione di ciò che accade in background in un processo SSPI che usa il protocollo Kerberos versione 5.

Il protocollo di autenticazione Kerberos fornisce un meccanismo per l'autenticazione reciproca tra le entità prima che venga stabilita una connessione di rete sicura. In questa documentazione, le due entità vengono chiamate client e il server anche se è possibile stabilire connessioni di rete sicure tra server. Sia il client che il server possono anche essere definiti entità di sicurezza .

Il protocollo Kerberos presuppone che le transazioni tra client e server vengano eseguite su una rete aperta in cui la maggior parte dei client e molti server non sono fisicamente sicuri e i pacchetti che viaggiano lungo la rete possono essere monitorati e modificati in corrispondenza di volontà. L'ambiente assunto è come internet di oggi, in cui un utente malintenzionato può facilmente rappresentare come un client o un server e può facilmente intercettare o manomettere le comunicazioni tra client e server legittimi.

In questa sezione vengono fornite le informazioni seguenti:

L'applicazione non deve accedere direttamente al pacchetto di sicurezza kerberos; Deve invece usare il pacchetto di sicurezza Negotiate. Negotiate consente all'applicazione di sfruttare i protocolli di sicurezza più avanzati se sono supportati dai sistemi coinvolti nell'autenticazione. Attualmente, il pacchetto di sicurezza Negotiate seleziona tra Kerberos e NTLM. Negotiate seleziona Kerberos a meno che non possa essere usata da uno dei sistemi coinvolti nell'autenticazione.