Kerberos Authentication OverviewKerberos Authentication Overview

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Kerberos ist ein Authentifizierungsprotokoll, das zum Überprüfen der Identität eines Benutzers oder Hosts verwendet wird.Kerberos is an authentication protocol that is used to verify the identity of a user or host. Dieses Thema enthält Informationen zur Kerberos-Authentifizierung in Windows Server 2012 und Windows 8.This topic contains information about Kerberos authentication in Windows Server 2012 and Windows 8.

FunktionsbeschreibungFeature description

Mit dem Betriebssystem Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichen Schlüsseln, den Transport von Autorisierungsdaten und die Delegierung implementiert.The Windows Server operating systems implement the Kerberos version 5 authentication protocol and extensions for public key authentication, transporting authorization data, and delegation. Der Kerberos-Authentifizierungs Client wird als Security Support Provider ( SSP implementiert ) , und er kann über die Security Support Provider-Schnittstelle (SSPI) aufgerufen werden ( ) .The Kerberos authentication client is implemented as a security support provider (SSP), and it can be accessed through the Security Support Provider Interface (SSPI). Die anfängliche Benutzerauthentifizierung ist in die Winlogon-Architektur für einmaliges Anmelden integriert - .Initial user authentication is integrated with the Winlogon single sign-on architecture.

Der Kerberos-Schlüsselverteilungscenter ( KDC ) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänen Controller ausgeführt werden.The Kerberos Key Distribution Center (KDC) is integrated with other Windows Server security services that run on the domain controller. Der KDC verwendet die Active Directory Domain Services Datenbank der Domäne als Sicherheits Konten Datenbank.The KDC uses the domain's Active Directory Domain Services database as its security account database. AD DS ist für Kerberos-Standardimplementierungen innerhalb der Domäne oder Gesamtstruktur erforderlich.Active Directory Domain Services is required for default Kerberos implementations within the domain or forest.

Praktische AnwendungPractical applications

Die Verwendung von Kerberos für die Domänen - basierte Authentifizierung bietet folgende Vorteile:The benefits gained by using Kerberos for domain-based authentication are:

  • Delegierte Authentifizierung.Delegated authentication.

    Dienste, die unter Windows-Betriebssystemen ausgeführt werden, können die Identität eines Client Computers annehmen, wenn Sie im Auftrag des Clients auf Ressourcen zugreifen.Services that run on Windows operating systems can impersonate a client computer when accessing resources on the client's behalf. In vielen Fällen kann ein Dienst die Arbeit für den Client abschließen, indem er auf Ressourcen auf dem lokalen Computer zugreift.In many cases, a service can complete its work for the client by accessing resources on the local computer. Wenn ein Clientcomputer sich beim Dienst authentifiziert, bieten das NTLM- und Kerberos-Protokoll die Autorisierungsinformationen, die ein Dienst benötigt, um lokal die Identität des Clientcomputers anzunehmen.When a client computer authenticates to the service, NTLM and Kerberos protocol provide the authorization information that a service needs to impersonate the client computer locally. Einige verteilte Anwendungen sind jedoch so konzipiert, dass ein Front- - End-Dienst die Identität des Client Computers verwenden muss, wenn er eine Verbindung mit Back- - End-Diensten auf anderen Computern herstellt.However, some distributed applications are designed so that a front-end service must use the client computer's identity when it connects to back-end services on other computers. Die Kerberos-Authentifizierung unterstützt einen Delegierungsmechanismus, der es einem Dienst ermöglicht, im Auftrag seines Clients zu fungieren, wenn eine Verbindung mit anderen Diensten hergestellt wird.Kerberos authentication supports a delegation mechanism that enables a service to act on behalf of its client when connecting to other services.

  • Einmaliges Anmelden.Single sign on.

    Mithilfe der Kerberos-Authentifizierung innerhalb einer Domäne oder Gesamtstruktur kann ein Benutzer oder Dienst auf Ressourcen mit der Erlaubnis von Administratoren auf Ressourcen zugreifen, ohne dass mehrere Anforderungen von Anmeldeinformationen erfolgen.Using Kerberos authentication within a domain or in a forest allows the user or service access to resources permitted by administrators without multiple requests for credentials. Nach der ersten Anmeldung bei der Domäne über die Windows-Anmeldung verwaltet Kerberos die Anmeldeinformationen in der gesamten Gesamtstruktur, wenn ein Zugriff auf Ressourcen versucht wird.After initial domain sign on through Winlogon, Kerberos manages the credentials throughout the forest whenever access to resources is attempted.

  • Interoperabilität.Interoperability.

    Die Implementierung des Kerberos V5-Protokolls von Microsoft basiert auf Standards - nachverfolgen, die für die Internet Engineering Task Force ( IETF empfohlen werden ) .The implementation of the Kerberos V5 protocol by Microsoft is based on standards-track specifications that are recommended to the Internet Engineering Task Force (IETF). Bei Windows-Betriebssystemen schafft das Kerberos-Protokoll daher die Grundlage für die Interoperabilität mit anderen Netzwerken, in denen das Kerberos-Protokoll für die Authentifizierung verwendet wird.As a result, in Windows operating systems, the Kerberos protocol lays a foundation for interoperability with other networks in which the Kerberos protocol is used for authentication. Darüber hinaus veröffentlicht Microsoft eine Windows-Protokolldokumentation zur Implementierung des Kerberos-Protokolls.In addition, Microsoft publishes Windows Protocols documentation for implementing the Kerberos protocol. Die Dokumentation enthält technische Anforderungen, Einschränkungen, Abhängigkeiten und das Windows - -spezifische Protokoll Verhalten für die Microsoft-Implementierung des Kerberos-Protokolls.The documentation contains the technical requirements, limitations, dependencies, and Windows-specific protocol behavior for Microsoft's implementation of the Kerberos protocol.

  • Effizientere Authentifizierung bei Servern.More efficient authentication to servers.

    Vor Kerberos konnte die NTLM-Authentifizierung verwendet werden, bei der ein Anwendungsserver eine Verbindung mit einem Domänencontroller herstellen muss, um jeden einzelnen Clientcomputer oder Dienst zu authentifizieren.Before Kerberos, NTLM authentication could be used, which requires an application server to connect to a domain controller to authenticate every client computer or service. Mithilfe des Kerberos-Protokolls ersetzen die - Passthrough-Authentifizierung durch die Passthrough-Authentifizierung.With the Kerberos protocol, renewable session tickets replace pass-through authentication. Es ist nicht erforderlich, dass der Server zu einem Domänen Controller wechselt, ( es sei denn, er muss ein Berechtigungs Attribut Zertifikat PAC überprüfen ( ) ) .The server is not required to go to a domain controller (unless it needs to validate a Privilege Attribute Certificate (PAC)). Stattdessen kann der Server den Clientcomputer authentifizieren, indem er vom Client vorgelegte Anmeldeinformationen untersucht.Instead, the server can authenticate the client computer by examining credentials presented by the client. Clientcomputer können Anmeldeinformationen für einen bestimmten Server einmal erhalten und diese Anmeldeinformationen dann während einer Netzwerkanmeldesitzung wiederverwenden.Client computers can obtain credentials for a particular server once and then reuse those credentials throughout a network logon session.

  • Gegenseitige Authentifizierung.Mutual authentication.

    Mithilfe des Kerberos-Protokolls kann ein Teilnehmer an einem der beiden Enden einer Netzwerkverbindung überprüfen, ob der Teilnehmer am anderen Ende die Entität ist, die er zu sein vorgibt.By using the Kerberos protocol, a party at either end of a network connection can verify that the party on the other end is the entity it claims to be. NTLM ermöglicht Clients nicht, die Identität eines Servers zu überprüfen oder einem Server zu ermöglichen, die Identität eines anderen Servers zu überprüfen.NTLM does not enable clients to verify a server's identity or enable one server to verify the identity of another. Die NTLM-Authentifizierung wurde für eine Netzwerkumgebung konzipiert, in die Echtheit der Server unterstellt wird.NTLM authentication was designed for a network environment in which servers were assumed to be genuine. Das Kerberos-Protokoll geht nicht von derartigen Annahmen aus.The Kerberos protocol makes no such assumption.

Weitere InformationenSee Also

Windows-Authentifizierung: ÜbersichtWindows Authentication Overview