Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Kerberos je ověřovací protokol, který slouží k ověření identity uživatele nebo hostitele. Toto téma obsahuje informace o ověřování protokolem Kerberos ve Windows Serveru a Windows.
Operační systémy Windows Server implementují ověřovací protokol Kerberos verze 5 a rozšíření pro ověřování pomocí veřejného klíče, přenos autorizačních dat a delegování. Ověřovací klient Kerberos je implementovaný jako zprostředkovatel podpory zabezpečení (SSP) a je přístupný prostřednictvím rozhraní SSPI (Security Support Provider Interface). Počáteční ověřování uživatelů je integrované s architekturou jednotného přihlašování Winlogon.
Centrum distribuce klíčů Kerberos (KDC) je integrované s dalšími službami zabezpečení Windows Serveru, které běží na řadiči domény. KDC používá databázi služby Active Directory Domain Services domény jako databázi účtu zabezpečení. Služba Active Directory Domain Services se vyžaduje pro výchozí implementace protokolu Kerberos v rámci domény nebo doménové struktury.
Praktické aplikace
Výhody získané pomocí protokolu Kerberos pro ověřování na základě domény jsou popsány v následujících částech.
Delegované ověření
Služby, které běží v operačních systémech Windows, můžou napodobit klientský počítač při pokusu o přístup k prostředkům jménem klienta. V mnoha případech může služba dokončit svou práci pro klienta přístupem k prostředkům na místním počítači. Když se klientský počítač ověří ve službě, poskytne protokol NTLM a Kerberos informace o autorizaci, které služba potřebuje k místnímu zosobnění klientského počítače. Některé distribuované aplikace jsou ale navržené tak, aby front-endová služba při připojení k back-endovým službám v jiných počítačích musela používat identitu klientského počítače. Ověřování protokolem Kerberos podporuje mechanismus delegování, který službě umožňuje jednat jménem klienta při připojování k jiným službám.
Jednotné přihlašování
Použití autentizace pomocí Kerberos v rámci domény nebo lesní struktury umožňuje uživateli nebo službě přístup k prostředkům povoleným správci, aniž by bylo nutné opakovaně žádat o přihlašovací údaje. Po počátečním přihlášení do domény pomocí Winlogon spravuje Kerberos údaje v celém lese vždy, když je pokus o přístup k prostředkům.
Interoperability
Implementace protokolu Kerberos V5 od společnosti Microsoft je založena na specifikacích směřujících ke standardům, které jsou doporučeny pro schválení Internet Engineering Task Force (IETF). V důsledku toho protokol Kerberos v operačních systémech Windows představuje základ pro interoperabilitu s jinými sítěmi, ve kterých se protokol Kerberos používá k ověřování. Kromě toho Společnost Microsoft publikuje dokumentaci k protokolům Windows pro implementaci protokolu Kerberos. Dokumentace obsahuje technické požadavky, omezení, závislosti a chování protokolu specifického pro Systém Windows pro implementaci protokolu Kerberos od Microsoftu.
Efektivnější ověřování u serverů
Než bude možné použít ověřování protokolem Kerberos, může být použito ověřování NTLM, které vyžaduje, aby se aplikační server připojil k řadiči domény, aby ověřil každý klientský počítač nebo službu. S protokolem Kerberos obnovitelné lístky relací nahrazují předávací ověřování. Server nemusí přejít na řadič domény, pokud nepotřebuje ověřit certifikát PAC (Privilege Attribute Certificate). Místo toho může server ověřit klientský počítač prozkoumáním přihlašovacích údajů předaný klientem. Klientské počítače můžou získat přihlašovací údaje pro konkrétní server jednou a pak je znovu použít v rámci relace přihlášení k síti.
Vzájemné ověřování
Pomocí protokolu Kerberos může strana na obou koncích síťového připojení ověřit, že strana na druhém konci je entita, o kterou se jedná. NTLM neumožňuje klientům ověřit identitu serveru nebo povolit jednomu serveru ověření identity jiného. Ověřování NTLM bylo navrženo pro síťové prostředí, ve kterém byly servery předpokládány jako originální. Protokol Kerberos takový předpoklad nepředkládá.
Typy šifrování
Od systému Windows Server 2025 už Kerberos neresluje starší klíč REG_DWORD SupportedEncryptionTypes registru nalezený v cestě HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Microsoft místo toho doporučuje používat zásady skupiny. Další informace o nastavení zásad skupiny najdete v tématu Zabezpečení sítě: Konfigurace typů šifrování povolených pro Protokol Kerberos.