Overzicht van Kerberos-authenticatie
Van toepassing op: Windows Server 2012, Windows 8
Kerberos is een authenticatieprotocol dat wordt gebruikt om de identiteit van een gebruiker of host te controleren. Dit onderwerp bevat informatie over Kerberos-authenticatie in Windows Server 2012 en Windows 8.
Functiebeschrijving
In de Windows Server-besturingssystemen zijn het Kerberos versie 5-authenticatieprotocol en de bijbehorende extensies voor openbare-sleutelauthenticatie, transport van autorisatiegegevens en delegatie geïmplementeerd. De Kerberos-authenticatieclient is geïmplementeerd als een SSP (Security Support Provider) en is toegankelijk via de SSPI (Security Support Provider Interface). Initiële gebruikersauthenticatie is geïntegreerd met de Winlogon-architectuur voor eenmalige aanmelding.
Het KDC (Kerberos Key Distribution Center) is geïntegreerd met andere beveiligingsservices van Windows Server die op de domeincontroller worden uitgevoerd. Het KDC gebruikt de Active Directory Domain Services-database van het domein als beveiligingsaccountdatabase. Active Directory Domain Services is vereist voor standaard Kerberos-implementaties binnen het domein of forest.
Praktische toepassingen
Het gebruik van Kerberos voor authenticatie op basis van domein heeft de volgende voordelen:
Gedelegeerde authenticatie.
Services die worden uitgevoerd op Windows-besturingssystemen kunnen zich voordoen als een clientcomputer bij het openen van bronnen namens de client. In veel gevallen kan een service volstaan met het openen van bronnen op de lokale computer om de taken voor de client te voltooien. Als een clientcomputer zich bij de service authenticeert, bieden NTLM en het Kerberos-protocol de authenticatiegegevens die een service nodig heeft om zich lokaal voor te doen als de clientcomputer. Sommige gedistribueerde toepassingen zijn echter zo ontworpen dat een front-end-service de identiteit van de clientcomputer moet gebruiken wanneer verbinding wordt gemaakt met back-end-services op andere computers. Kerberos-authenticatie biedt ondersteuning voor een overdrachtsmechanisme waarmee een service namens de client kan handelen wanneer verbinding met andere services wordt gemaakt.
Eenmalige aanmelding.
Door Kerberos-authenticatie te gebruiken binnen een domein of in een forest kan de gebruiker of service toestemming van beheerders krijgen voor toegang tot bronnen zonder meerdere aanvragen voor referenties. Na de eerste aanmelding bij het domein via Winlogon beheert Kerberos de referenties in het forest wanneer wordt geprobeerd toegang te krijgen tot bronnen.
Interoperabiliteit.
De implementatie van het protocol Kerberos V5 van Microsoft is gebaseerd op "standards-track"-specificaties die zijn aanbevolen aan de IETF (Internet Engineering Task Force). Hierdoor vormt het Kerberos-protocol in Windows-besturingssystemen een basis voor compatibiliteit met andere netwerken waarin het Kerberos-protocol wordt gebruikt voor authenticatie. Bovendien publiceert Microsoft documentatie over Windows-protocollen voor de implementatie van het Kerberos-protocol. Deze documentatie bevat de technische vereisten, beperkingen, afhankelijkheden en Windows-specifieke eigenschappen van de Microsoft-implementatie van het Kerberos-protocol.
Efficiëntere authenticatie bij servers.
Vóór de introductie van Kerberos kon NTLM-authenticatie worden gebruikt. Bij NTLM moet een toepassingsserver verbinding maken met een domeincontroller om elke clientcomputer of service te authenticeren. Bij het Kerberos-protocol is het gebruik van verlengbare sessietickets vervangen door doorgifte van authenticatiegegevens. De server hoeft geen verbinding te maken met een domeincontroller (tenzij een PAC (Privilege Attribute Certificate) moet worden gevalideerd). De server kan in plaats daarvan de clientcomputer authenticeren door de referenties te controleren die worden aangeboden door de client. Clientcomputers kunnen referenties voor een bepaalde server eenmaal ophalen en deze referenties opnieuw gebruiken gedurende een netwerkaanmeldingssessie.
Wederzijdse authenticatie.
Met behulp van het Kerberos-protocol kunnen de partijen aan beide uiteinden van een netwerkverbinding de identiteit controleren van de partij aan het andere uiteinde. Met NTLM kunnen clients de identiteit van een server niet controleren en kan een server de identiteit van een andere server niet controleren. Bij het ontwerp van NTLM-authenticatie werd ervan uitgegaan dat de legitimiteit van servers in een netwerkomgeving gegarandeerd was. Bij het ontwerp van het Kerberos-protocol is niet van een dergelijke veronderstelling uitgegaan.
Nieuwe en gewijzigde functionaliteit
Zie Wat is nieuw in Kerberos-verificatie voor een beschrijving van wijzigingen in de Kerberos-implementatie in Windows.
Zie ook
Inhoudstype |
Verwijzingen |
|---|---|
Productevaluatie |
Overzicht van Kerberos-beperkte overdracht Dynamisch toegangsbeheer: overzicht van scenario's Access Control and Authorization Overview New and changed functionality (Engelstalig) Wat is er nieuw in Active Directory Domain Services (AD DS)? |
Planning |
Wat is nieuw in Kerberos-verificatie Kerberos-documentatie voor Windows 7, Windows Vista, Windows Server 2008 R2 en Windows Server 2008 |
Implementatie |
Nog niet beschikbaar |
Bewerkingen |
Nog niet beschikbaar |
Problemen oplossen |
Nog niet beschikbaar |
Beveiliging |
Nog niet beschikbaar |
Hulpprogramma's en instellingen |
[MS-KILE]: Kerberos Protocol Extensions (Engelstalig) [MS-KKDCP]: Kerberos Key Distribution Center (KDC) Proxy Protocol Specification (Engelstalig) |
Communitybronnen. |
|
Verwante technologieën |