Panoramica dell'autenticazione Kerberos
Si applica a: Windows Server 2012, Windows 8
Kerberos è un protocollo di autenticazione usato per verificare l'identità di un utente o un host. Questo argomento contiene informazioni sull'autenticazione Kerberos in Windows Server 2012 e Windows 8.
Descrizione delle funzionalità
I sistemi operativi Windows Server implementano il protocollo e le estensioni Kerberos versione 5 per l'autenticazione con chiave pubblica, il trasporto dei dati di autorizzazione e la delega. Il client di autenticazione Kerberos viene implementato come SSP (Security Support Provider) ed è accessibile tramite SSPI (Security Support Provider Interface). L'autenticazione iniziale degli utenti è integrata con l'architettura Single Sign-On di Winlogon.
Il Centro distribuzione chiavi (KDC) di Kerberos è integrato con altri servizi di sicurezza di Windows Server eseguiti nel controller di dominio. Il KDC usa il database di Servizi di dominio Active Directory del dominio come database degli account di sicurezza. Le implementazioni Kerberos predefinite nel dominio o nella foresta richiedono Servizi di dominio Active Directory.
Applicazioni pratiche
I benefici derivanti dall'uso di Kerberos per l'autenticazione basata sul dominio sono:
Autenticazione delegata.
I servizi eseguiti nei sistemi operativi Windows possono rappresentare un computer client quando accedono alle risorse per conto del client. In molti casi, un servizio può completare il proprio lavoro per il client accedendo alle risorse nel computer locale. Quando un computer client esegue l'autenticazione per il servizio, il protocollo NTLM e Kerberos forniscono le informazioni di autorizzazione necessarie al servizio per rappresentare il computer client in locale. Tuttavia, alcune applicazioni distribuite sono progettate in modo tale che un servizio front-end deve usare l'identità del computer client quando si connette ai servizi back-end in altri computer. L'autenticazione Kerberos supporta un meccanismo di delega che consente a un servizio di agire per conto del relativo client quando si connette ad altri servizi.
Single Sign-On.
L'autenticazione Kerberos in un dominio o in una foresta consente all'utente o al servizio di accedere alle risorse autorizzate dagli amministratori senza più richieste per le credenziali. Dopo l'accesso iniziale al dominio tramite Winlogon, Kerberos gestisce le credenziali in tutta la foresta ogni volta che si prova ad accedere alle risorse.
Interoperabilità.
L'implementazione del protocollo Kerberos V5 da parte di Microsoft si basa sulle specifiche registrate come standard consigliate all'organismo IETF (Internet Engineering Task Force). Di conseguenza, nei sistemi operativi Windows, il protocollo Kerberos è alla base dell'interoperabilità con altre reti in cui viene usato il protocollo Kerberos per l'autenticazione. Inoltre, Microsoft pubblica la documentazione dei protocolli Windows per l'implementazione del protocollo Kerberos. La documentazione contiene i requisiti tecnici, le limitazioni, le dipendenze e il comportamento del protocollo specifico di Windows per l'implementazione del protocollo Kerberos di Microsoft.
Autenticazione più efficace per i server.
Prima di Kerberos, veniva usata l'autenticazione NTLM, con cui un server applicazioni deve connettersi a un controller di dominio per autenticare ogni computer client o servizio. Con il protocollo Kerberos, i ticket di sessione rinnovabili sostituiscono l'autenticazione pass-through. Il server non deve accedere a un controller di dominio, a meno che non sia necessario convalidare un certificato attributi privilegi. Il server può invece autenticare il computer client esaminando le credenziali presentate dal client. I computer client possono ottenere le credenziali per un particolare server una sola volta e quindi riusare tali credenziali durante tutta la sessione di accesso alla rete.
Autenticazione reciproca.
Con il protocollo Kerberos, una parte a una delle due estremità di una connessione di rete può verificare che la parte all'altra estremità è l'entità che asserisce di essere. NTLM non consente ai client di verificare l'identità del server o a un server di verificare l'identità di un altro server. L'autenticazione NTLM è stata progettata per un ambiente di rete in cui si presuppone che i server siano autentici. Il protocollo Kerberos non si basa su tale supposizione.
Funzionalità nuove e modificate
Per una descrizione delle modifiche apportate all'implementazione di Kerberos in Windows, vedere Novità dell'autenticazione Kerberos.
Vedere anche
Tipo di contenuto |
Riferimenti |
|---|---|
Valutazione del prodotto |
Panoramica della delega vincolata Kerberos Controllo dinamico degli accessi: Panoramica dello scenario Panoramica su controllo dell'accesso e autorizzazione Funzionalità nuove e modificate |
Pianificazione |
|
Distribuzione |
Non ancora disponibile |
Operazioni |
Non ancora disponibile |
Risoluzione dei problemi |
Non ancora disponibile |
Sicurezza |
Non ancora disponibile |
Strumenti e impostazioni |
[MS-KILE]: Estensioni del protocollo Kerberos [MS-KKDCP]: Specifica del protocollo proxy del centro distribuzione chiavi (KDC) Kerberos |
Risorse della community |
|
Tecnologie correlate |