Compartilhar via

Protocolo Kerberos v5

  • Artigo

O protocolo de autenticação Kerberos v5 tem um identificador de serviço de autenticação de RPC_C_AUTHN_GSS_KERBEROS. O protocolo Kerberos define como os clientes interagem com um serviço de autenticação de rede e foi padronizado pela IETF (Internet Engineering Task Force) em setembro de 1993, no documento RFC 1510. Os clientes obtêm tíquetes do KDC (Centro de Distribuição de Chaves) Kerberos e apresentam esses tíquetes aos servidores quando as conexões são estabelecidas. Os tíquetes Kerberos representam as credenciais de rede do cliente.

Assim como o NTLM, o protocolo Kerberos usa o nome de domínio, o nome de usuário e a senha para representar a identidade do cliente. O tíquete Kerberos inicial obtido do KDC quando o usuário faz logon é baseado em um hash criptografado da senha do usuário. Esse tíquete inicial é armazenado em cache. Quando o usuário tenta se conectar a um servidor, o protocolo Kerberos verifica o cache de tíquetes para um tíquete válido para esse servidor. Se um não estiver disponível, o tíquete inicial do usuário será enviado ao KDC juntamente com uma solicitação de um tíquete para o servidor especificado. Esse tíquete de sessão é adicionado ao cache e pode ser usado para se conectar ao mesmo servidor até que o tíquete expire.

Quando um servidor chama CoQueryClientBlanket usando o protocolo Kerberos, o nome de domínio e o nome de usuário do cliente são retornados. Quando um servidor chama CoImpersonateClient, o token do cliente é retornado. Esses comportamentos são os mesmos que ao usar o NTLM.

O protocolo Kerberos funciona entre os limites do computador. Os computadores cliente e servidor devem estar em domínios e esses domínios devem ter uma relação de confiança.

O protocolo Kerberos requer autenticação mútua e dá suporte a ele remotamente. O cliente deve especificar o nome principal do servidor e a identidade do servidor deve corresponder exatamente ao nome da entidade de segurança. Se o cliente especificar NULL para o nome principal do servidor ou se o nome principal não corresponder ao servidor, a chamada falhará.

Com o protocolo Kerberos, os níveis de representação identificam, representam e delegam podem ser usados. Quando um servidor chama CoImpersonateClient, o token retornado é válido fora do computador por algum período de tempo entre 5 minutos e 8 horas. Após esse tempo, ele pode ser usado somente no computador do servidor. Se um servidor for "executado como ativador" e a ativação for feita com o protocolo Kerberos, o token do servidor expirará entre 5 minutos e 8 horas após a ativação.

O protocolo de autenticação Kerberos v5 implementado pelo Windows dá suporte de camuflagem.

com e pacotes de segurança