Поделиться через

Протокол Kerberos версии 5

  • Статья

Протокол проверки подлинности Kerberos версии 5 содержит идентификатор службы проверки подлинности RPC_C_AUTHN_GSS_KERBEROS. Протокол Kerberos определяет, как клиенты взаимодействуют со службой проверки подлинности сети и были стандартизированы в рабочей группе разработчиков Интернета (IETF) в сентябре 1993 года в документе RFC 1510. Клиенты получают билеты из Центра распространения ключей Kerberos (KDC), и они предоставляют эти билеты серверам при установке подключений. Билеты Kerberos представляют учетные данные сети клиента.

Как и NTLM, протокол Kerberos использует доменное имя, имя пользователя и пароль для представления удостоверения клиента. Первоначальный билет Kerberos, полученный из KDC, когда пользователь регистрируется на основе зашифрованного хэша пароля пользователя. Этот исходный билет кэшируется. Когда пользователь пытается подключиться к серверу, протокол Kerberos проверяет кэш билетов для допустимого билета для этого сервера. Если он недоступен, первоначальный билет пользователя отправляется в KDC вместе с запросом на запрос на указанный сервер. Этот билет сеанса добавляется в кэш, и его можно использовать для подключения к тому же серверу до истечения срока действия билета.

Когда сервер вызывает CoQueryClientBlanket с помощью протокола Kerberos, возвращается доменное имя клиента и имя пользователя. Когда сервер вызывает CoImpersonateClient, возвращается маркер клиента. Такое же поведение, как и при использовании NTLM.

Протокол Kerberos работает по границам компьютера. Клиентские и серверные компьютеры должны находиться в доменах, а эти домены должны иметь отношение доверия.

Протокол Kerberos требует взаимной проверки подлинности и поддерживает его удаленно. Клиент должен указать имя субъекта сервера, а удостоверение сервера должно точно совпадать с этим именем субъекта. Если клиент указывает null для имени субъекта сервера или если имя участника не соответствует серверу, вызов завершится ошибкой.

С помощью протокола Kerberos уровни олицетворения определяют, олицетворение и делегат можно использовать. Когда сервер вызывает CoImpersonateClient, возвращенный маркер действителен на компьютере в течение некоторого периода времени от 5 минут до 8 часов. После этого его можно использовать только на серверном компьютере. Если сервер запущен от имени активатора, а активация выполняется с помощью протокола Kerberos, маркер сервера истекает в период от 5 минут до 8 часов после активации.

Протокол проверки подлинности Kerberos версии 5, реализованный WindowsÂ, поддерживает маскировку.

com и пакеты безопасности