Descrição Geral da Autenticação do Kerberos
Aplica-se a: Windows Server 2012, Windows 8
O Kerberos é um protocolo de autenticação utilizado para confirmar a identidade de um utilizador ou o anfitrião. Este tópico contém informações sobre a autenticação do Kerberos no Windows Server 2012 e Windows 8.
Descrição da funcionalidade
Os sistemas operativos do Windows Server implementam o protocolo de autenticação Kerberos versão 5 e extensões para autenticação de chave pública, dados de autorização de transporte e delegação. O cliente de autenticação Kerberos é implementado como um fornecedor de suporte de segurança (SSP) e pode ser acedido através da Interface do Fornecedor de Suporte de Segurança (SSPI). A autenticação de utilizador inicial está integrada com a arquitetura de início de sessão única do Winlogon.
O Centro de Distribuição de Chaves Kerberos (KDC) está integrado com outros serviços de segurança do Windows Server executados no controlador de domínio. O KDC utiliza a base de dados Serviços de Domínio do Active Directory (AD DS) do domínio como a sua respetiva base de dados de conta de segurança. Os Serviços de Domínio do Active Directory é necessário para implementações predefinidas do Kerberos dentro do domínio ou floresta.
Aplicações práticas
Os benefícios adquiridos utilizando o Kerberos para autenticação baseada em domínio são:
Autenticação delegada.
Os serviços executados em sistemas operativos Windows podem imitar um computador cliente quando acedem a recursos em nome do cliente. Em muitos casos, um serviço pode completar o respetivo trabalho para o cliente ao aceder a recursos no computador local. Quando um computador cliente autentica para o serviço, o protocolo NTLM e Kerberos forneça as informações de autorização que necessita de um serviço para representar o computador cliente localmente. No entanto, algumas aplicações distribuídas foram concebidas para que um serviço front-end devem utilizar a identidade do computador cliente quando é ligado aos serviços de back-end noutros computadores. A autenticação Kerberos suporta um mecanismo de delegação que permite a um serviço agir em nome do respetivo cliente ao ligar a outros serviços.
Início de sessão único.
Ao utilizar a autenticação Kerberos num domínio ou uma floresta permite ao utilizador ou o acesso de serviço a recursos permitidos pelos administradores sem vários pedidos para credenciais. Depois do início de sessão de domínio inicial através do Winlogon, o Kerberos gere as credenciais em toda a floresta sempre que tentar aceder a recursos.
Interoperabilidade
A implementação do protocolo Kerberos V5 pela Microsoft baseia-se em especificações de registo padrão que foram recomendadas para o Internet Engineering Task Force (IETF). Como resultado, nos sistemas operativos do Windows, o protocolo Kerberos serve de base para interoperabilidade com outras redes nas quais o protocolo Kerberos é utilizado para autenticação. Além disso, a Microsoft publica documentação de Protocolos do Windows para implementar o protocolo Kerberos. A documentação contém requisitos técnicos, limitações, dependências e comportamento de protocolo específico do Windows para a implementação do protocolo Kerberos da Microsoft.
Autenticação mais eficiente para servidores.
Antes do Kerberos, foi utilizada a autenticação NTLM, que requer um servidor de aplicação para ligar a um controlador de domínio para autenticar cada computador cliente ou serviço. Com o protocolo Kerberos, os pedidos de suporte de sessão renováveis substituem a autenticação pass-through. O servidor não tem de ir para um controlador de domínio (a menos que necessite de validar um Certificado de Atributo de Privilégio (PAC)). Em vez disso, o servidor pode autenticar o computador cliente, ao examinar credenciais apresentadas pelo cliente. Os computadores cliente podem obter credenciais para um determinado servidor uma vez e, em seguida, reutilizar essas credenciais ao longo de uma sessão de início de sessão de rede.
Autenticação mútua.
Ao utilizar o protocolo Kerberos, uma parte em cada extremidade de uma ligação de rede pode verificar que a parte na outra extremidade é a entidade que pretende ser. A NTLM não ativa clientes para verificar a identidade de um servidor ou ativar um servidor para verificar a identidade de outra pessoa. A autenticação de NTLM foi concebida para um ambiente de rede no qual os servidores eram supostos serem genuínos. O protocolo Kerberos não parte desse pressuposto.
Funcionalidade nova e alterada
Para obter uma descrição das alterações efetuadas para a implementação de Kerberos no Windows, consulte Novidades na Autenticação Kerberos.
Consulte também
Tipo de conteúdo |
Referências |
|---|---|
Avaliação do produto |
Descrição Geral da Delegação Restrita de Kerberos Controlo de Acesso Dinâmico: Descrição Geral do Cenário Descrição geral de Controlo de Acesso e Autorização Funcionalidades novas e alteradas Novidades dos Serviços de Domínio do Active Directory (AD DS) |
Planeamento |
|
Implementação |
Ainda não está disponível |
Operações |
Ainda não está disponível |
Resolução de Problemas |
Ainda não está disponível |
Segurança |
Ainda não está disponível |
Ferramentas e definições |
[MS-KILE]: Extensões de Protocolo do Kerberos [MS-KKDCP]: Especificação de Protocolo de Proxy do Centro de Distribuição de Chave do Kerberos (KDC) |
Recursos de comunidade |
|
Tecnologias relacionadas |