Kerberos v5 Protocol
Het Kerberos v5-verificatieprotocol heeft een verificatieservice-id van RPC_C_AUTHN_GSS_KERBEROS. Het Kerberos-protocol definieert hoe clients communiceren met een netwerkverificatieservice en is gestandaardiseerd door de Internet Engineering Task Force (IETF) in september 1993, in document RFC 1510. Clients verkrijgen tickets van het Kerberos Key Distribution Center (KDC) en ze presenteren deze tickets aan servers wanneer er verbindingen tot stand worden gebracht. Kerberos-tickets vertegenwoordigen de netwerkreferenties van de client.
Net als NTLM gebruikt het Kerberos-protocol de domeinnaam, gebruikersnaam en het wachtwoord om de identiteit van de client weer te geven. Het eerste Kerberos-ticket dat is verkregen bij de KDC wanneer de gebruiker zich aanmeldt, is gebaseerd op een versleutelde hash van het wachtwoord van de gebruiker. Dit eerste ticket wordt in de cache opgeslagen. Wanneer de gebruiker verbinding probeert te maken met een server, controleert het Kerberos-protocol de ticketcache op een geldig ticket voor die server. Als er geen ticket beschikbaar is, wordt het eerste ticket voor de gebruiker naar de KDC verzonden, samen met een aanvraag voor een ticket voor de opgegeven server. Dat sessieticket wordt toegevoegd aan de cache en kan worden gebruikt om verbinding te maken met dezelfde server totdat het ticket verloopt.
Wanneer een server CoQueryClientBlanket aanroept met behulp van het Kerberos-protocol, worden de domeinnaam en gebruikersnaam van de client geretourneerd. Wanneer een server CoImpersonateClientaanroept, wordt het token van de client geretourneerd. Dit gedrag is hetzelfde als bij het gebruik van NTLM.
Het Kerberos-protocol werkt over de grenzen van de computer. De client- en servercomputers moeten zich beide in domeinen bevinden en die domeinen moeten een vertrouwensrelatie hebben.
Het Kerberos-protocol vereist wederzijdse verificatie en ondersteunt het op afstand. De client moet de principal-naam van de server opgeven en de identiteit van de server moet exact overeenkomen met die principal-naam. Als de client NULL- opgeeft voor de principal-naam van de server of als de principal-naam niet overeenkomt met de server, mislukt de aanroep.
Met het Kerberos-protocol kunnen de imitatieniveaus identificeren, imiteren en delegeren. Wanneer een server CoImpersonateClientaanroept, is het geretourneerde token gedurende een bepaalde periode tussen 5 minuten en 8 uur geldig op de computer. Na deze tijd kan deze alleen op de servercomputer worden gebruikt. Als een server wordt uitgevoerd als activator en de activering wordt uitgevoerd met het Kerberos-protocol, verloopt het token van de server tussen 5 minuten en 8 uur na de activering.
Het Kerberos v5-verificatieprotocol dat door Windows wordt geïmplementeerd, ondersteunt cloaking.
Verwante onderwerpen