Kerberos Authentication Overview

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Kerberos est un protocole d’authentification utilisé pour vérifier l’identité d’un utilisateur ou d’un hôte. cette rubrique contient des informations sur l’authentification Kerberos dans Windows Server 2012 et Windows 8.

Description de la fonctionnalité

Les systèmes d’exploitation Windows Server implémentent le protocole d’authentification Kerberos version 5 et des extensions pour l’authentification des clés publiques, les données d’autorisation de transport et la délégation. Le client d’authentification Kerberos est implémenté en tant que fournisseur SSP (Security Support Provider) et est accessible par le biais de l’interface SSPI (Security Support Provider Interface). L’authentification utilisateur initiale est intégrée à l’architecture à authentification unique Winlogon.

Le centre de distribution de clés Kerberos est intégré à d’autres services de sécurité Windows Server qui s’exécutent sur le contrôleur de domaine. Le KDC utilise la base de données de Active Directory Domain Services du domaine comme base de données du compte de sécurité. Les services de domaine Active Directory (AD DS) sont requis pour les implémentations Kerberos par défaut au sein du domaine ou de la forêt.

Cas pratiques

Les avantages offerts par l’authentification basée sur un domaine Kerberos sont les suivants :

  • Authentification déléguée.

    les Services qui s’exécutent sur des systèmes d’exploitation Windows peuvent emprunter l’identité d’un ordinateur client lors de l’accès aux ressources au nom du client. Dans de nombreux cas, un service peut effectuer son travail pour le client en accédant aux ressources de l’ordinateur local. Lorsqu’un ordinateur client s’authentifie auprès du service, les protocoles NTLM et Kerberos fournissent les informations d’autorisation dont un service a besoin pour emprunter l’identité de l’ordinateur client localement. Toutefois, certaines applications distribuées sont conçues de façon à ce qu’un service frontal doive utiliser l’identité de l’ordinateur client lorsqu’il se connecte aux services principaux sur d’autres ordinateurs. L’authentification Kerberos prend en charge un mécanisme de délégation qui permet à un service d’agir au nom de son client lors de la connexion à d’autres services.

  • Authentification unique.

    L’utilisation de l’authentification Kerberos dans un domaine ou dans une forêt permet à l’utilisateur ou au service d’accéder aux ressources autorisées par les administrateurs en évitant plusieurs demandes d’informations d’identification. Après l’authentification initiale de domaine via Winlogon, Kerberos gère les informations d’identification dans la forêt lors de chaque tentative d’accès aux ressources.

  • Interopérabilité.

    L’implémentation par Microsoft du protocole Kerberos V5 est basée sur des spécifications normatives faisant l’objet de recommandations auprès du groupe de travail IETF. Par conséquent, dans les systèmes d’exploitation Windows, le protocole Kerberos pose les bases d’une interopérabilité avec les autres réseaux où il est utilisé à des fins d’authentification. En outre, Microsoft publie la documentation relative aux protocoles Windows pour l’implémentation du protocole Kerberos. la documentation contient les spécifications techniques, les limitations, les dépendances et le comportement de protocole spécifique à Windows pour l’implémentation par Microsoft du protocole Kerberos.

  • Authentification plus efficace auprès des serveurs.

    Avant Kerberos, il était possible d’utiliser l’authentification NTLM, qui requiert un serveur d’applications pour se connecter à un contrôleur de domaine afin d’authentifier chaque ordinateur ou service client. Avec le protocole Kerberos, les tickets de session renouvelables remplacent l’authentification directe. Le serveur n’est pas requis pour accéder à un contrôleur de domaine (à moins qu’il doive valider un certificat PAC (Privilege Attribute Certificate). Au lieu de cela, le serveur peut authentifier l’ordinateur client en examinant les informations d’identification présentées par le client. Les ordinateurs clients peuvent obtenir des informations d’identification pour un serveur en particulier et les réutiliser au cours d’une session de connexion réseau.

  • Authentification mutuelle.

    À l’aide du protocole Kerberos, chacune des parties situées à chaque extrémité d’une connexion réseau peut vérifier que la partie distante est bien l’entité qu’elle prétend être. NTLM ne permet pas aux clients de vérifier l’identité d’un serveur ou de permettre à un serveur de vérifier l’identité d’un autre serveur. L’authentification NTLM a été conçue pour un environnement réseau dans lequel les serveurs sont considérés comme authentiques. Le protocole Kerberos n’utilise pas ce genre d’hypothèse.

Voir aussi

Windows Vue d’ensemble de l’authentification