Поделиться через


Microsoft Kerberos

Протокол Kerberos определяет, как клиенты взаимодействуют со службой проверки подлинности сети. Клиенты получают билеты в центре распространения ключей Kerberos и предъявляют их серверам при установлении соединений. Билеты Kerberos представляют сетевые учетные данные клиента.

Сведения в этом разделе содержат теоретические сведения об использовании протокола Kerberos в процессе проверки подлинности. Это общие сведения, которые могут добавить к пониманию разработчиком того, что происходит за кулисами в процессе SSPI, использующего протокол Kerberos версии 5.

Протокол проверки подлинности Kerberos предоставляет механизм для взаимной проверки подлинности между сущностями до установки безопасного сетевого подключения. В этой документации эти две сущности называются клиентом и сервером, хотя между серверами можно установить безопасные сетевые подключения. Как клиент, так и сервер также могут называться субъектами безопасности.

Протокол Kerberos предполагает, что транзакции между клиентами и серверами происходят в открытой сети, где большинство клиентов и многие серверы физически не защищены, а пакеты, передаваемые по сети, можно отслеживать и изменять по необходимости. Предполагаемая среда похожа на современный Интернет, где злоумышленник может легко представлять себя клиентом или сервером, и может легко подслушив или изменить обмен данными между законными клиентами и серверами.

В этом разделе содержится следующая информация.

Приложение не должно обращаться к пакету безопасности Kerberos напрямую; Вместо этого следует использовать пакет безопасности Negotiate . Согласование позволяет приложению использовать более сложные протоколы безопасности , если они поддерживаются системами, участвующими в проверке подлинности. В настоящее время пакет безопасности Negotiate выбирает между Kerberos и NTLM. Negotiate выбирает Kerberos, если он не может использоваться одной из систем, участвующих в проверке подлинности.