Обзор проверки подлинности Kerberos
Применимо к:Windows Server 2012, Windows 8
Kerberos — это протокол проверки подлинности, используемый для проверки удостоверения пользователя или узла. Этот раздел содержит сведения о проверке подлинности Kerberos в Windows Server 2012 и Windows 8.
Описание компонента
Операционные системы Windows Server реализуют протокол проверки подлинности Kerberos версии 5 и расширения для проверки подлинности с помощью открытого ключа, переноса данных авторизации и делегирования. Клиент проверки подлинности Kerberos реализуется в качестве поставщика поддержки безопасности (SSP). Получить к нему доступ можно через интерфейс поставщика поддержки безопасности (SSPI). Начальная проверка подлинности пользователя интегрирована в архитектуру единого входа Winlogon.
Центр распространения ключей Kerberos (KDC) встроен в другие службы безопасности Windows Server, работающие на контроллере домена. Служба KDC использует базу данных доменных служб Active Directory в качестве базы данных учетных записей безопасности. Доменные службы Active Directory необходимы для реализации Kerberos по умолчанию в рамках домена или леса.
Практическое применение
Проверка подлинности Kerberos на уровне домена обеспечивает следующие преимущества.
Делегированная проверка подлинности.
Службы, работающие в операционных системах Windows, могут олицетворять клиентский компьютер при получении доступа к ресурсам от имени клиента. Во многих случаях служба может выполнить свою работу для клиента путем доступа к ресурсам на локальном компьютере. Когда клиентский компьютер проходит проверку подлинности в службе, протоколы NTLM и Kerberos предоставляют сведения авторизации, которые требуются службе для локального олицетворения клиентского компьютера. Однако некоторые распределенные приложения разработаны таким образом, что интерфейсная служба должна использовать удостоверение клиентского компьютера при подключении к внутренним службам на других компьютерах. Проверка подлинности Kerberos поддерживает механизм делегирования, позволяющий службе действовать от имени клиента при подключении к другим службам.
Единый вход.
Использование проверки подлинности Kerberos в домене или в лесу позволяет пользователю или службе получать доступ к ресурсам, разрешенным администраторами, без многократного ввода учетных данных. После первоначального входа в систему домена через функцию Winlogon протокол Kerberos управляет учетными данными по всему лесу при каждой попытке доступа к ресурсам.
Взаимодействие.
Реализация протокола Kerberos V5 Майкрософт основана на стандартных спецификациях отслеживания, рекомендованных IETF. Поэтому в операционных системах Windows протокол Kerberos лежит в основе взаимодействия с другими сетями, в которых для проверки подлинности также используется протокол Kerberos. Кроме того, корпорация Майкрософт публикует документацию "Протоколы Windows", содержащую сведения о реализации протокола Kerberos. Документация содержит технические требования, ограничения, зависимости и описание поведения протокола в среде Windows, имеющие отношение к реализации протокола Kerberos Майкрософт.
Более эффективная проверка подлинности на серверах.
Перед применением Kerberos можно использовать проверку подлинности NTLM, которая требует подключения сервера приложений к контроллеру домена для проверки подлинности каждого клиентского компьютера или службы. При использовании протокола Kerberos возобновляемые билеты сеанса заменяют сквозную проверку подлинности. Серверу не требуется переходить к контроллеру домена (если только не требуется проверка сертификата атрибута привилегий). Вместо этого сервер может проверить подлинность клиентского компьютера путем проверки учетных данных, предоставленных клиентом. Клиентские компьютеры могут получить учетные данные для определенного сервера однократно и затем использовать их в течение всего сеанса после входа в сеть.
Взаимная проверка подлинности.
С помощью протокола Kerberos сторона на любом конце сетевого подключения может проверить, что сторона на противоположном конце является субъектом, за которого себя выдает. NTLM не позволяет клиентам проверять удостоверение сервера или одному серверу проверять удостоверение другого. Проверка подлинности NTLM предназначена для сетевой среды, в которой серверы считаются подлинными. В протоколе Kerberos такого допущения нет.
Новые и измененные функции
Описание изменений, внесенных в реализацию Kerberos в Windows, см. в разделе Что нового в проверке подлинности Kerberos.
См. также:
Тип содержимого |
Ссылок |
|---|---|
Оценка продукта |
Обзор ограниченного делегирования Kerberos Динамический контроль доступа. Обзор сценария Обзор управления доступом и авторизации. Новые и измененные функции |
Планирование |
Что нового в проверке подлинности Kerberos Документация Kerberos для Windows 7, Windows Vista, Windows Server 2008 R2 и Windows Server 2008 |
Развертывание |
На данный момент недоступно |
Операции |
На данный момент недоступно |
Диагностика |
На данный момент недоступно |
Безопасность |
На данный момент недоступно |
Средства и параметры |
[MS-KILE]: расширения протокола Kerberos [MS-KKDCP]: спецификация протокола прокси-сервера центра распространения ключей Kerberos (KDC) |
Ресурсы сообщества |
|
Связанные технологии |