Kerberos v5 通訊協定

  • 發行項

Kerberos v5 驗證通訊協定具有RPC_C_AUTHN_GSS_KERBEROS的驗證服務標識碼。 Kerberos 通訊協定會定義用戶端如何與網路驗證服務互動,並在 1993 年 9 月由因特網工程工作組 (IETF) 標準化,檔 RFC 1510。 用戶端從 Kerberos 金鑰發佈中心 (KDC) 取得票證,並在建立連線時將這些票證呈交給伺服器。 Kerberos 票證代表用戶端的網路認證。

如同 NTLM,Kerberos 通訊協定會使用功能變數名稱、使用者名稱和密碼來代表用戶端的身分識別。 當使用者登入時,會根據用戶密碼的加密哈希,從 KDC 取得的初始 Kerberos 票證。 這個初始票證會快取。 當使用者嘗試連線到伺服器時,Kerberos 通訊協定會檢查票證快取中是否有該伺服器的有效票證。 如果無法使用,使用者的初始票證會連同指定伺服器的票證要求一起傳送至 KDC。 該會話票證會新增至快取,而且可用來連線到相同伺服器,直到票證到期為止。

當伺服器使用 Kerberos 通訊協定呼叫 CoQueryClientBlanket 時,會傳回用戶端的功能變數名稱和用戶名稱。 當伺服器呼叫 CoImpersonateClient 時,會傳回用戶端的令牌。 這些行為與使用NTLM時相同。

Kerberos 通訊協定可跨計算機界限運作。 用戶端和伺服器計算機必須同時位於網域中,而且這些網域必須具有信任關係。

Kerberos 通訊協定需要相互驗證,並遠端支援它。 客戶端必須指定伺服器的主體名稱,而且伺服器的身分識別必須完全符合該主體名稱。 如果客戶端為 伺服器的主體名稱指定 NULL ,或主體名稱不符合伺服器,則呼叫將會失敗。

使用 Kerberos 通訊協定時,可以使用模擬層級來識別、模擬和委派。 當伺服器呼叫 CoImpersonateClient 時,傳回的令牌會在 5 分鐘到 8 小時之間的一段時間內從電腦有效。 在這段時間之後,它只能在伺服器計算機上使用。 如果伺服器是「以啟動者身分執行」,且啟用是使用 Kerberos 通訊協定完成,則伺服器的令牌會在啟用後 5 分鐘到 8 小時到期。

Windows 實作的 Kerberos v5 驗證通訊協定支援 蓋。

COM 和安全性套件