Microsoft Kerberos
Protokół Kerberos definiuje sposób interakcji klientów z usługą uwierzytelniania sieciowego. Klienci uzyskują bilety z centrum dystrybucji kluczy Protokołu Kerberos (KDC) i przedstawiają te bilety serwerom podczas nawiązywania połączeń. Bilety protokołu Kerberos reprezentują poświadczenia sieci klienta.
Informacje w tej sekcji zawierają teoretyczne informacje na temat korzystania z protokołu Kerberos w procesie uwierzytelniania. Są to podstawowe informacje, które mogą dodać do zrozumienia przez dewelopera, co dzieje się w tle w procesie SSPI, który korzysta z protokołu Kerberos w wersji 5.
Protokół uwierzytelniania Kerberos zapewnia mechanizm wzajemnego uwierzytelniania między jednostkami przed nawiązaniem bezpiecznego połączenia sieciowego. W tej dokumentacji te dwie jednostki są nazywane klientem i serwerem, mimo że bezpieczne połączenia sieciowe mogą być wykonywane między serwerami. Zarówno klient, jak i serwer mogą być również określane jako podmioty zabezpieczeń.
Protokół Kerberos zakłada, że transakcje między klientami i serwerami odbywają się w otwartej sieci, w której większość klientów i wielu serwerów nie jest fizycznie bezpieczna, a pakiety podróżujące wzdłuż sieci mogą być monitorowane i modyfikowane w dowolnej chwili. Zakładane środowisko jest jak dzisiejszy Internet, w którym osoba atakująca może łatwo pozować jako klient lub serwer, i może łatwo podsłuchiwać lub manipulować komunikacją między uzasadnionymi klientami i serwerami.
Ta sekcja zawiera następujące informacje:
- podstawowe pojęcia dotyczące uwierzytelniania
- subprotocols protokołu Kerberos
- modelu kerberos
- SSPI/Kerberos współdziałanie z interfejsem GSSAPI
Aplikacja nie powinna uzyskiwać bezpośredniego dostępu dopakietu zabezpieczeń protokołu Kerberos; Zamiast tego należy użyć pakietu zabezpieczeń Negotiate. Negocjacja umożliwia aplikacji korzystanie z bardziej zaawansowanych protokołów zabezpieczeń , jeśli są one obsługiwane przez systemy zaangażowane w uwierzytelnianie. Obecnie pakiet zabezpieczeń Negotiate wybiera między Kerberos i NTLM. Negocjacja wybiera protokół Kerberos, chyba że nie może być używany przez jeden z systemów zaangażowanych w uwierzytelnianie.