(0) exportieren Drucken
Alle erweitern

Kerberos-Authentifizierung: Übersicht

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Juli 2012

Betrifft: Windows 8, Windows Server 2012

Kerberos ist ein Authentifizierungsmechanismus zur Überprüfung einer Benutzer- oder Hostidentität. Dieses Thema enthält Informationen zur Kerberos-Authentifizierung in Windows Server® 2012 und Windows® 8.

Mit dem Betriebssystem Microsoft Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichem Schlüssel implementiert. Der Kerberos-Authentifizierungsclient wird als Security Support Provider (SSP) implementiert und ist über die Security Support Provider-Schnittstelle (SSPI) zugänglich. Die Erstauthentifizierung von Benutzern ist in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert. Das Kerberos-Schlüsselverteilungscenter (Key Distribution Center, (KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Datenbank des Active Directory-Verzeichnisdienstes als Sicherheitskonten-Datenbank. Active Directory ist für Standardimplementierungen von Kerberos innerhalb der Domäne oder Gesamtstruktur erforderlich. In Windows Server 2012 und Windows 8 kann die Kerberos-Authentifizierung als Proxy genutzt werden, um fehlende Remotekonnektivität zum Domänencontroller auszugleichen, indem für DirectAccess- oder Remotedesktop-Benutzer, die den Domänenzugriff anfordern, stellvertretende Kerberos-Authentifizierungs- und Kennwortänderungsnachrichten verwendet werden.

Kerberos V5 ist sicherer, flexibler und effizienter als NTLM. Die Kerberos-Authentifizierung bietet die folgenden Vorteile:

  • Delegierte Authentifizierung.

    Windows-Dienste imitieren die Identität eines Clients, wenn sie im Namen des Clients auf Ressourcen zugreifen. In vielen Fällen kann ein Dienst die Arbeit für den Client abschließen, indem er auf Ressourcen auf dem lokalen Computer zugreift. Sowohl NTLM als auch Kerberos V5 stellen die Informationen bereit, die der Dienst benötigt, um die Identität des Clients lokal zu imitieren. Einige verteilte Anwendungen sehen jedoch vor, dass ein Front-End-Dienst die Identität des Clients imitieren muss, wenn eine Verbindung zu Back-End-Diensten auf anderen Computern hergestellt wird. Kerberos V5 enthält einen Proxymechanismus, der es einem Dienst ermöglicht, die Identität seines Clients anzunehmen, wenn Verbindungen mit anderen Diensten hergestellt werden. NTLM stellt keine vergleichbare Funktionalität zur Verfügung.

  • Interoperabilität.

    Die Microsoft-Implementierung von Kerberos V5 basiert auf Internetstandard-Spezifikationen, die der Internet Engineering Task Force (IETF) empfohlen wurden. Die Windows-Implementierung von Kerberos V5 schafft daher die Grundlage für die Interoperabilität mit anderen Netzwerken, in denen Kerberos V5 für die Authentifizierung verwendet wird.

  • Effizientere Authentifizierung bei Servern.

    Bei der NTLM-Authentifizierung muss ein Anwendungsserver eine Verbindung mit einem Domänencontroller herstellen, um jeden einzelnen Client zu authentifizieren. Bei der Kerberos V5-Authentifizierung muss der Server hingegen keinen Kontakt mit dem Domänencontroller aufnehmen. Stattdessen kann der Server den Client authentifizieren, indem er vom Client vorgelegte Anmeldeinformationen untersucht. Clients können Anmeldeinformationen für einen bestimmten Server einmal erhalten und diese Anmeldeinformationen dann während einer Netzwerkanmeldesitzung wiederverwenden. An die Stelle der Pass-Through-Authentifizierung treten erneuerbare Sitzungstickets.

  • Gegenseitige Authentifizierung.

    Mithilfe des Kerberos-Protokolls kann ein Teilnehmer an einem der beiden Enden einer Netzwerkverbindung überprüfen, ob der Teilnehmer am anderen Ende die Entität ist, die er zu sein vorgibt. Bei NTLM ist es Servern zwar möglich, die Identitäten ihrer Clients zu überprüfen, aber Clients wird es nicht ermöglicht, die Identität eines Servers zu überprüfen. Auch die gegenseitige Identitätsüberprüfung zwischen Servern ist bei NTLM nicht möglich. Die NTLM-Authentifizierung wurde für eine Netzwerkumgebung konzipiert, in die Echtheit der Server unterstellt wird. Kerberos V5 geht nicht von derartigen Annahmen aus.

Eine Beschreibung der Änderungen, die an der Kerberos-Implementierung in Windows vorgenommen wurden, finden Sie unter Neues bei der Kerberos-Authentifizierung.

 

Art der Inhalte Referenzen

Produktbewertung

Dynamische Zugriffssteuerung: Szenarioübersicht

Dynamische Zugriffssteuerung: Technische Vorschau

Remotezugriff: Technische Vorschau

What's New in Active Directory Domain Services (AD DS)

Planen

Noch nicht verfügbar

Bereitstellung

Noch nicht verfügbar

Betrieb

Noch nicht verfügbar

Problembehandlung

Noch nicht verfügbar

Sicherheit

Noch nicht verfügbar

Tools und Einstellungen

Noch nicht verfügbar

Community-Ressourcen

Noch nicht verfügbar

Verwandte Technologien

Active Directory-Domänendienste: Übersicht

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft