Kerberos Authentication Overview

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Kerberos ist ein Authentifizierungsprotokoll, das zum Überprüfen der Identität eines Benutzers oder Hosts verwendet wird. Dieses Thema enthält Informationen zur Kerberos-Authentifizierung in Windows Server 2012 und Windows 8.

Featurebeschreibung

Mit dem Betriebssystem Windows Server werden das Authentifizierungsprotokoll Kerberos, Version 5, sowie Erweiterungen für die Authentifizierung mit öffentlichen Schlüsseln, den Transport von Autorisierungsdaten und die Delegierung implementiert. Der Kerberos-Authentifizierungsclient wird als Security Support Provider (SSP) implementiert und ist über die Security Support Provider-Schnittstelle (SSPI) zugänglich. Die Erstauthentifizierung von Benutzern ist in die Windows-Anmeldearchitektur für einmaliges Anmelden integriert.

Das Kerberos-Schlüsselverteilungscenter (Key Distribution Center, KDC) ist in andere Windows Server-Sicherheitsdienste integriert, die auf dem Domänencontroller ausgeführt werden. Das KDC verwendet die Active Directory Domain Services-Datenbank (AD DS) als Sicherheitskontendatenbank. AD DS ist für Kerberos-Standardimplementierungen innerhalb der Domäne oder Gesamtstruktur erforderlich.

Praktische Anwendung

Die Kerberos-Authentifizierung bietet die folgenden Vorteile für die domänenbasierte Authentifizierung:

  • Delegierte Authentifizierung.

    Dienste, die auf Windows Betriebssystemen ausgeführt werden, können beim Zugriff auf Ressourcen im Namen des Clients die Identität eines Clientcomputers annehmen. In vielen Fällen kann ein Dienst die Arbeit für den Client abschließen, indem er auf Ressourcen auf dem lokalen Computer zugreift. Wenn ein Clientcomputer sich beim Dienst authentifiziert, bieten das NTLM- und Kerberos-Protokoll die Autorisierungsinformationen, die ein Dienst benötigt, um lokal die Identität des Clientcomputers anzunehmen. Einige verteilte Anwendungen sind jedoch so konzipiert, dass ein Front-End-Dienst die Identität des Clientcomputers verwenden muss, wenn er eine Verbindung mit Back-End-Diensten auf anderen Computern herstellt. Die Kerberos-Authentifizierung unterstützt einen Delegierungsmechanismus, der es einem Dienst ermöglicht, im Auftrag seines Clients zu fungieren, wenn eine Verbindung mit anderen Diensten hergestellt wird.

  • Einmaliges Anmelden.

    Mithilfe der Kerberos-Authentifizierung innerhalb einer Domäne oder Gesamtstruktur kann ein Benutzer oder Dienst auf Ressourcen mit der Erlaubnis von Administratoren auf Ressourcen zugreifen, ohne dass mehrere Anforderungen von Anmeldeinformationen erfolgen. Nach der ersten Anmeldung bei der Domäne über die Windows-Anmeldung verwaltet Kerberos die Anmeldeinformationen in der gesamten Gesamtstruktur, wenn ein Zugriff auf Ressourcen versucht wird.

  • Interoperabilität.

    Die Implementierung des Kerberos V5-Protokolls von Microsoft basiert auf Spezifikationen von Internetstandards, die der Internet Engineering Task Force (IETF) empfohlen wurden. Bei Windows-Betriebssystemen schafft das Kerberos-Protokoll daher die Grundlage für die Interoperabilität mit anderen Netzwerken, in denen das Kerberos-Protokoll für die Authentifizierung verwendet wird. Darüber hinaus veröffentlicht Microsoft eine Windows-Protokolldokumentation zur Implementierung des Kerberos-Protokolls. Die Dokumentation enthält die technischen Anforderungen, Einschränkungen, Abhängigkeiten und Windows spezifischen Protokollverhaltens für die Microsoft-Implementierung des Kerberos-Protokolls.

  • Effizientere Authentifizierung bei Servern.

    Vor Kerberos konnte die NTLM-Authentifizierung verwendet werden, bei der ein Anwendungsserver eine Verbindung mit einem Domänencontroller herstellen muss, um jeden einzelnen Clientcomputer oder Dienst zu authentifizieren. Beim Kerberos-Protokoll treten erneuerbare Sitzungstickets an die Stelle der Pass-Through-Authentifizierung. Der Server muss keinen Kontakt mit dem Domänencontroller aufnehmen (außer wenn ein PAC [Privilege Attribute Certificate]) überprüft werden muss. Stattdessen kann der Server den Clientcomputer authentifizieren, indem er vom Client vorgelegte Anmeldeinformationen untersucht. Clientcomputer können Anmeldeinformationen für einen bestimmten Server einmal erhalten und diese Anmeldeinformationen dann während einer Netzwerkanmeldesitzung wiederverwenden.

  • Gegenseitige Authentifizierung.

    Mithilfe des Kerberos-Protokolls kann ein Teilnehmer an einem der beiden Enden einer Netzwerkverbindung überprüfen, ob der Teilnehmer am anderen Ende die Entität ist, die er zu sein vorgibt. NTLM ermöglicht es Clients nicht, die Identität eines Servers zu überprüfen, oder es einem Server zu ermöglichen, die Identität eines anderen servers zu überprüfen. Die NTLM-Authentifizierung wurde für eine Netzwerkumgebung konzipiert, in die Echtheit der Server unterstellt wird. Das Kerberos-Protokoll geht nicht von derartigen Annahmen aus.

Weitere Informationen

Übersicht über Windows-Authentifizierung