Kerberos v5-Protokoll
Das Kerberos v5-Authentifizierungsprotokoll verfügt über den Authentifizierungsdienstbezeichner RPC _ C _ AUTHN _ GSS _ KERBEROS. Das Kerberos-Protokoll definiert, wie Clients mit einem Netzwerkauthentifizierungsdienst interagieren und wurde im September 1993 von der Internet Engineering Task Force (IETF) im Dokument RFC 1510 standardisiert. Clients erhalten Tickets vom Kerberos Key Distribution Center (KDC), die sie beim Herstellen einer Verbindung an den Server übergeben. Kerberos-Tickets stellen die Netzwerkanmeldeinformationen des Clients dar.
Wie NTLM verwendet das Kerberos-Protokoll den Domänennamen, Benutzernamen und das Kennwort, um die Identität des Clients zu repräsentieren. Das anfängliche Kerberos-Ticket, das beim Anmelden des Benutzers vom KDC erhalten wurde, basiert auf einem verschlüsselten Hash des Benutzerkennworts. Dieses anfängliche Ticket wird zwischengespeichert. Wenn der Benutzer versucht, eine Verbindung mit einem Server herzustellen, überprüft das Kerberos-Protokoll den Ticketcache auf ein gültiges Ticket für diesen Server. Wenn kein Ticket verfügbar ist, wird das anfängliche Ticket für den Benutzer zusammen mit einer Anforderung für ein Ticket für den angegebenen Server an das KDC gesendet. Dieses Sitzungsticket wird dem Cache hinzugefügt und kann verwendet werden, um eine Verbindung mit demselben Server herzustellen, bis das Ticket abläuft.
Wenn ein Server CoQueryClientBlanket mithilfe des Kerberos-Protokolls aufruft, werden der Domänenname und der Benutzername des Clients zurückgegeben. Wenn ein Server CoImpersonateClient aufruft,wird das Token des Clients zurückgegeben. Diese Verhaltensweisen sind identisch mit denen bei verwendung von NTLM.
Das Kerberos-Protokoll funktioniert computerübergreifend. Die Client- und Servercomputer müssen sich beide in Domänen befinden, und diese Domänen müssen eine Vertrauensstellung haben.
Das Kerberos-Protokoll erfordert gegenseitige Authentifizierung und unterstützt es remote. Der Client muss den Prinzipalnamen des Servers angeben, und die Identität des Servers muss genau mit diesem Prinzipalnamen übereinstimmen. Wenn der Client NULL für den Prinzipalnamen des Servers angibt oder wenn der Prinzipalname nicht mit dem Server übereinstimmen soll, kann der Aufruf nicht ausgeführt werden.
Mit dem Kerberos-Protokoll können die Identitätswechselebenen identify, impersonate und delegate verwendet werden. Wenn ein Server CoImpersonateClient aufruft,ist das zurückgegebene Token für einen Zeitraum zwischen 5 Minuten und 8 Stunden vom Computer gültig. Nach diesem Zeitpunkt kann es nur auf dem Servercomputer verwendet werden. Wenn ein Server als Aktivator ausgeführt wird und die Aktivierung mit dem Kerberos-Protokoll erfolgt, läuft das Token des Servers zwischen 5 Minuten und 8 Stunden nach der Aktivierung ab.
Das kerberos v5-Authentifizierungsprotokoll, das von Windows implementiert wird, unterstützt das Versischen von.