Kerberos Kimlik Doğrulamasına Genel Bakış
Uygulama Alanı: Windows Server 2012, Windows 8
Kerberos, bir kullanıcının veya ana bilgisayarın kimliğini doğrulamak için kullanılan bir kimlik doğrulama protokolüdür. Bu konuda Windows Server 2012 ve Windows 8 sürümlerindeki Kerberos kimlik doğrulaması hakkında bilgiler yer almaktadır.
Özellik açıklaması
Windows Server işletim sistemleri, Kerberos sürüm 5 kimlik doğrulama protokolünü ve ortak anahtar kimlik doğrulamaya, yetkilendirme verilerinin taşınmasına ve temsilci seçmeye ilişkin uzantıları uygular. Kerberos kimlik doğrulama istemcisi bir güvenlik desteği sağlayıcısı (SSP) olarak uygulanır ve Güvenlik Desteği Sağlayıcısı Arabirimi (SSPI) üzerinden erişilebilir. İlk kullanıcı kimlik doğrulaması, Winlogon tekli oturum açma mimarisiyle tümleşiktir.
Kerberos Anahtar Dağıtım Merkezi (KDC), etki alanı denetleyicisinde çalışan diğer Windows Server güvenlik hizmetleriyle tümleşiktir. KDC, etki alanının Active Directory Etki Alanı Hizmetleri veritabanını güvenlik hesabı veritabanı olarak kullanır. Active Directory Etki Alanı Hizmetleri, etki alanı veya orman içinde varsayılan Kerberos uygulamaları için gereklidir.
Pratik uygulamalar
Etki alanı tabanlı kimlik doğrulaması için Kerberos kullanılarak elde edilen yararlar şunlardır:
Yetki verilen kimlik doğrulaması.
Windows işletim sistemlerinde çalışan hizmetler, istemci adına kaynaklara erişirken istemci bilgisayarının kimliğine bürünebilir. Çoğu durumda, bir hizmet yerel bilgisayardaki kaynaklara erişerek istemci için çalışmasını tamamlayabilir. Bir istemci bilgisayar hizmette kimlik doğruladığında, NTLM ve Kerberos protokolü bir hizmetin istemci bilgisayarın kimliğine yerel olarak bürünmek için ihtiyaç duyduğu yetkilendirme bilgilerini sağlar. Ancak, bazı dağıtılmış uygulamalar, ön uç hizmetinin diğer bilgisayarlardaki arka uç hizmetlerine bağlanırken istemci bilgisayarın kimliğini kullanmasını gerektirecek şekilde tasarlanmıştır. Kerberos kimlik doğrulaması, bir hizmetin diğer hizmetlere bağlanırken istemcisi adına hareket etmesini sağlayan bir temsilci seçme düzeneğini destekler.
Tekli oturum açma.
Kerberos kimlik doğrulamasının bir etki alanı veya ormanda kullanılması, kullanıcının veya hizmetin kimlik bilgileri için, birden çok istek göndermeden, yönetici tarafından izin verilen kaynaklara erişmesine imkan tanır. Winlogon üzerinden etki alanında ilk oturum açmanın ardından Kerberos, kaynaklara her erişim denemesinde ormandaki kimlik bilgilerini yönetir.
Birlikte çalışabilirlik.
Microsoft tarafından sunulan Kerberos V5 protokolü, İnternet Engineering Task Force (IETF) için önerilen standartları izleme belirtimlerini temel alır. Sonuç olarak, Windows işletim sistemlerinde, Kerberos protokolü, Kerberos protokolünün kimlik doğrulaması için kullanıldığı diğer ağlar ile birlikte çalışabilirlik için bir temel oluşturur. Ayrıca, Microsoft, Kerberos protokolünü uygulamaya yönelik Windows Protokolleri belgelerini yayımlar. Belgelerde Microsoft'un Kerberos protokolü uygulamasına yönelik teknik gereksinimler, sınırlamalar, bağımlılıklar ve Windows’a özgü protokol davranışı yer alır.
Sunucularda daha verimli kimlik doğrulaması.
Kerberos öncesinde, bir uygulama sunucusunun her bir istemci bilgisayarının veya hizmetin kimliğini doğrulamak için etki alanı denetleyicisine bağlanmasını gerektiren NTLM kimlik doğrulaması kullanılabiliyordu. Kerberos protokolüyle birlikte, geçiş kimlik doğrulamasının yerini yenilenebilir oturum biletleri almıştır. Sunucunun bir etki alanı denetleyicisine gitmesi gerekli değildir (bir Ayrıcalık Öznitelik Sertifikası (PAC) doğrulaması gerekmedikçe). Bunun yerine sunucu, istemci tarafından sunulan kimlik bilgilerini inceleyerek istemci bilgisayarın kimliğini doğrulayabilir. İstemci bilgisayarları belirli bir sunucunun kimlik bilgilerini bir kez elde edebilir ve sonra bu kimlik bilgilerini ağda oturumu boyunca yeniden kullanabilir.
Karşılıklı kimlik doğrulama.
Kerberos protokolü kullanılarak, ağ bağlantısının herhangi bir yanında bulunan bir taraf, diğer uçtaki tarafın iddia ettiği varlık olduğunu doğrulayabilir. NTLM, istemcilerin bir sunucu kimliğini doğrulamasını veya bir sunucunun diğerinin kimliğini doğrulamasını sağlamaz. NTLM kimlik doğrulaması, sunucuların orijinal kabul edildiği bir ağ ortamı için tasarlanmıştır. Kerberos protokolü bu tür bir varsayım yapmaz.
Yeni ve değiştirilmiş işlevsellik
Windows’taki Kerberos uygulamasında yapılan değişikliklerin bir açıklaması için bkz. Kerberos Kimlik Doğrulamasındaki Yenilikler.
Ayrıca bkz.
İçerik türü |
Başvurular |
---|---|
Ürün değerlendirmesi |
Kerberos Kısıtlanmış Temsile Genel Bakış Dinamik Erişim Denetimi: Senaryoya Genel Bakış Erişim Denetimi ve Yetkilendirmeye Genel Bakış Yeni ve değiştirilen işlevsellik Active Directory Etki Alanı Hizmetleri’ndeki (AD DS) Yenilikler |
Planlama |
Kerberos Kimlik Doğrulamasındaki Yenilikler Windows 7, Windows Vista, Windows Server 2008 R2 ve Windows Server 2008 için Kerberos Belgeleri |
Dağıtım |
Henüz kullanılamıyor |
İşlemler |
Henüz kullanılamıyor |
Sorun giderme |
Henüz kullanılamıyor |
Güvenlik |
Henüz kullanılamıyor |
Araçlar ve ayarlar |
[MS-KILE]: Kerberos Protokolü Uzantıları [MS-KKDCP]: Kerberos Anahtar Dağıtım Merkezi (KDC) Proxy Protokolü Belirtimi |
Topluluk kaynakları |
|
İlgili teknolojiler |