Kerberos-Authentifizierung: Übersicht
Betrifft: Windows Server 2012, Windows 8
Kerberos ist ein Authentifizierungsprotokoll zur Überprüfung der Identität eines Benutzers oder Hosts. Dieses Thema enthält Informationen zur Kerberos-Authentifizierung in Windows Server 2012 und Windows 8.
Featurebeschreibung
Mit dem Betriebssystem Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichen Schlüsseln, den Transport von Autorisierungsdaten und die Delegierung implementiert. Der Kerberos-Authentifizierungsclient wird als Security Support Provider (SSP) implementiert und ist über die Security Support Provider-Schnittstelle (SSPI) zugänglich. Die Erstauthentifizierung von Benutzern ist in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert.
Das Kerberos-Schlüsselverteilungscenter (Key Distribution Center, KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Active Directory-Domänendienste (AD DS) als Sicherheitskontendatenbank. AD DS ist für Kerberos-Standardimplementierungen innerhalb der Domäne oder Gesamtstruktur erforderlich.
Praktische Anwendung
Die Kerberos-Authentifizierung bietet die folgenden Vorteile für die domänenbasierte Authentifizierung:
Delegierte Authentifizierung.
Dienste, die unter Windows-Betriebssystemen ausgeführt werden, können die Identität eines Clientcomputers annehmen, wenn sie im Auftrag des Clients auf Ressourcen zugreifen. In vielen Fällen kann ein Dienst die Arbeit für den Client abschließen, indem er auf Ressourcen auf dem lokalen Computer zugreift. Wenn ein Clientcomputer sich beim Dienst authentifiziert, bieten das NTLM- und Kerberos-Protokoll die Autorisierungsinformationen, die ein Dienst benötigt, um lokal die Identität des Clientcomputers anzunehmen. Einige verteilte Anwendungen sehen jedoch vor, dass ein Front-End-Dienst die Identität des Clientcomputers annehmen muss, wenn eine Verbindung zu Back-End-Diensten auf anderen Computern hergestellt wird. Die Kerberos-Authentifizierung unterstützt einen Delegierungsmechanismus, der es einem Dienst ermöglicht, im Auftrag seines Clients zu fungieren, wenn eine Verbindung mit anderen Diensten hergestellt wird.
Einmaliges Anmelden.
Mithilfe der Kerberos-Authentifizierung innerhalb einer Domäne oder Gesamtstruktur kann ein Benutzer oder Dienst auf Ressourcen mit der Erlaubnis von Administratoren auf Ressourcen zugreifen, ohne dass mehrere Anforderungen von Anmeldeinformationen erfolgen. Nach der ersten Anmeldung bei der Domäne über die Windows-Anmeldung verwaltet Kerberos die Anmeldeinformationen in der gesamten Gesamtstruktur, wenn ein Zugriff auf Ressourcen versucht wird.
Interoperabilität.
Die Implementierung des Kerberos V5-Protokolls von Microsoft basiert auf Spezifikationen von Internetstandards, die der Internet Engineering Task Force (IETF) empfohlen wurden. Bei Windows-Betriebssystemen schafft das Kerberos-Protokoll daher die Grundlage für die Interoperabilität mit anderen Netzwerken, in denen das Kerberos-Protokoll für die Authentifizierung verwendet wird. Darüber hinaus veröffentlicht Microsoft eine Windows-Protokolldokumentation zur Implementierung des Kerberos-Protokolls. Die Dokumentation enthält die technische Anforderungen, Einschränkungen, Abhängigkeiten und Windows-spezifischen Protokollverhalten für die Microsoft-Implementierung des Kerberos-Protokolls.
Effizientere Authentifizierung bei Servern.
Vor Kerberos konnte die NTLM-Authentifizierung verwendet werden, bei der ein Anwendungsserver eine Verbindung mit einem Domänencontroller herstellen muss, um jeden einzelnen Clientcomputer oder Dienst zu authentifizieren. Beim Kerberos-Protokoll treten erneuerbare Sitzungstickets an die Stelle der Pass-Through-Authentifizierung. Der Server muss keinen Kontakt mit dem Domänencontroller aufnehmen (außer wenn ein PAC [Privilege Attribute Certificate]) überprüft werden muss. Stattdessen kann der Server den Clientcomputer authentifizieren, indem er vom Client vorgelegte Anmeldeinformationen untersucht. Clientcomputer können Anmeldeinformationen für einen bestimmten Server einmal erhalten und diese Anmeldeinformationen dann während einer Netzwerkanmeldesitzung wiederverwenden.
Gegenseitige Authentifizierung.
Mithilfe des Kerberos-Protokolls kann ein Teilnehmer an einem der beiden Enden einer Netzwerkverbindung überprüfen, ob der Teilnehmer am anderen Ende die Entität ist, die er zu sein vorgibt. Bei NTLM ist Clients nicht möglich, die Identität eines Servers zu überprüfen oder einem Server zu ermöglichen, die Identität eines anderen Servers zu überprüfen. Die NTLM-Authentifizierung wurde für eine Netzwerkumgebung konzipiert, in die Echtheit der Server unterstellt wird. Das Kerberos-Protokoll geht nicht von derartigen Annahmen aus.
Neue und geänderte Funktionalität
Eine Beschreibung der Änderungen, die an der Kerberos-Implementierung in Windows vorgenommen wurden, finden Sie unter Neues bei der Kerberos-Authentifizierung.
Siehe auch
Inhaltstyp |
Verweise |
|---|---|
Produktbewertung |
Eingeschränkte Kerberos-Delegierung: Übersicht Dynamische Zugriffsteuerung: Szenarioübersicht Übersicht über die Zugriffssteuerung und Autorisierung Neue und geänderte Funktionalität |
Planen |
Neues bei der Kerberos-Authentifizierung Kerberos-Dokumentation für Windows 7, Windows Vista, Windows Server 2008 R2 und Windows Server 2008 |
Bereitstellung |
Noch nicht verfügbar |
Betrieb |
Noch nicht verfügbar |
Problembehandlung |
Noch nicht verfügbar |
Sicherheit |
Noch nicht verfügbar |
Tools und Einstellungen |
[MS-KILE]: Kerberos-Protokollerweiterungen [MS-KKDCP]: Kerberos-Schlüsselverteilungscenter (KDC) – Proxyprotokollspezifikation |
Communityressourcen |
|
Verwandte Technologien |