Microsoft Kerberos
O protocolo Kerberos define como os clientes interagem com um serviço de autenticação de rede. Os clientes obtêm tíquetes do Centro de Distribuição de Chaves Kerberos (KDC) e apresentam esses tíquetes aos servidores quando as conexões são estabelecidas. Os tíquetes Kerberos representam as credenciais de rede do cliente.
As informações nesta seção fornecem informações teóricas sobre o uso do protocolo Kerberos em um processo de autenticação. Essas são informações básicas que podem aumentar a compreensão de um desenvolvedor sobre o que está acontecendo nos bastidores de um processo SSPI que usa o protocolo Kerberos Versão 5.
O protocolo de autenticação Kerberos fornece um mecanismo para autenticação mútua entre entidades antes que uma conexão de rede segura seja estabelecida. Ao longo desta documentação, as duas entidades são chamadas de cliente e servidor, embora conexões de rede seguras possam ser feitas entre servidores. O cliente e o servidor também podem ser referidos como entidades de segurança .
O protocolo Kerberos assume que as transações entre clientes e servidores ocorrem em uma rede aberta onde a maioria dos clientes e muitos servidores não são fisicamente seguros, e os pacotes que viajam pela rede podem ser monitorados e modificados à vontade. O ambiente assumido é como a Internet de hoje, onde um invasor pode facilmente se passar por um cliente ou um servidor, e pode facilmente intercetar ou adulterar comunicações entre clientes e servidores legítimos.
Esta seção fornece as seguintes informações:
- Conceitos básicos de autenticação
- de Subprotocolos Kerberos
- Modelo Kerberos
- Interoperabilidade SSPI/Kerberos com GSSAPI
Seu aplicativo não deve acessar o pacote de segurança Kerberos diretamente; em vez disso, ele deve usar o pacote de segurança Negociar. Negociar permite que a sua aplicação tire partido de protocolos de segurança mais avançados se forem suportados pelos sistemas envolvidos na autenticação. Atualmente, o pacote de segurança Negociar seleciona entre Kerberos e NTLM. Negociar seleciona Kerberos, a menos que ele não possa ser usado por um dos sistemas envolvidos na autenticação.