Novità nell'autenticazione Kerberos
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016 e Windows 10
Supporto dei centri distribuzione chiavi (KDC) per l'autenticazione client basata sull'attendibilità delle chiavi pubbliche
A partire da Windows Server 2016, i KDC supportano un metodo di mapping delle chiavi pubbliche. Se viene effettuato il provisioning della chiave pubblica per un account, il KDC supporta in modo esplicito PKInit di Kerberos che usa tale chiave. Poiché non esiste alcuna convalida del certificato, i certificati autofirmati sono supportati e la garanzia del meccanismo di autenticazione non è supportata.
È preferibile usare l'attendibilità delle chiavi se è configurata per un account indipendentemente dall'impostazione di UseSubjectAltName.
Supporto dei client Kerberos e KDC per l'estensione di aggiornamento RFC 8070 PKInit
A partire da Windows 10, versione 1607, e Windows Server 2016, i client Kerberos tentano di usare l'estensione di aggiornamento RFC 8070 PKInit per gli accessi basati su chiave pubblica.
A partire da Windows Server 2016, i KDC possono supportare l'estensione di aggiornamento PKInit. Per impostazione predefinita, i KDC non offrono l'estensione di aggiornamento PKInit. Per abilitarla, usare il nuovo supporto KDC per l'impostazione dei criteri del modello amministrativo KDC dell'estensione di aggiornamento PKInit in tutti i controller di dominio nel dominio. Se configurata, sono supportate le opzioni seguenti quando il dominio è il livello funzionalità dominio di Windows Server 2016:
- Disabilitata: il KDC non offre mai l'estensione di aggiornamento PKInit e accetta richieste di autenticazione valide senza verificare la presenza dell'aggiornamento. Gli utenti non riceveranno mai il SID di identità della chiave pubblica aggiornato.
- Supportata: l'estensione di aggiornamento PKInit è supportata su richiesta. I client Kerberos che eseguono correttamente l'autenticazione con l'estensione di aggiornamento PKInit ricevono il SID di identità della chiave pubblica aggiornato.
- Obbligatoria: l'estensione di aggiornamento PKInit obbligatoria per la corretta autenticazione. I client Kerberos che non supportano l'estensione di aggiornamento PKInit genereranno sempre un errore quando si usano credenziali a chiave pubblica.
Supporto di dispositivi aggiunti a dominio per l'autenticazione con chiave pubblica
A partire da Windows 10, versione 1507, e Windows Server 2016, se un dispositivo aggiunto a dominio è in grado di registrare la chiave pubblica associata con un controller di dominio di Windows Server 2016, il dispositivo può eseguire l'autenticazione con la chiave pubblica usando l'autenticazione Kerberos a un controller di dominio di Windows Server 2016. Per altre informazioni, vedere Autenticazione con chiave pubblica dei dispositivi aggiunti a dominio
I client Kerberos consentono nomi host con indirizzi IPv4 e IPv6 nei nomi delle entità servizio
A partire da Windows 10, versione 1507, e Windows Server 2016, i client Kerberos possono essere configurati per supportare i nomi host con IPv4 e IPv6 nei nomi delle entità servizio.
Percorso di registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Per configurare il supporto per i nomi host con indirizzi IP nei nomi delle entità servizio, creare una voce TryIPSPN. Questa voce non è disponibile nel registro per impostazione predefinita. Dopo aver creato la voce, cambiare il valore di DWORD in 1. Se non configurato, i nomi host con indirizzi IP non vengono tentati.
Se il nome dell'entità servizio è registrato in Active Directory, l'autenticazione ha esito positivo con Kerberos.
Per altre informazioni, vedere il documento Configurazione di Kerberos per gli indirizzi IP.
Supporto di KDC per il mapping degli account con attendibilità delle chiavi
A partire da Windows Server 2016, i controller di dominio prevedono il supporto per il mapping degli account con attendibilità delle chiavi, oltre al fallback in AltSecID e in nomi di entità servizio esistenti nel comportamento della SAN. Quando UseSubjectAltName è impostato su:
- 0: è necessario il mapping esplicito. Quindi devono essere presenti:
- Attendibilità delle chiavi (novità di Windows Server 2016)
- ExplicitAltSecID
- 1: è consentito il mapping implicito (impostazione predefinita):
- Se l'attendibilità della chiave è configurata per l'account, viene usata per il mapping (novità di Windows Server 2016).
- Se non è presente alcun nome dell'entità utente nella SAN, viene eseguito un tentativo di mapping con AltSecID.
- Se è presente un nome dell'entità utente nella SAN, viene eseguito un tentativo di mapping con UPN.