Kerberos v5-Protokoll
Das Kerberos v5-Authentifizierungsprotokoll verfügt über einen Authentifizierungsdienstbezeichner von RPC_C_AUTHN_GSS_KERBEROS. Das Kerberos-Protokoll definiert die Interaktion von Clients mit einem Netzwerkauthentifizierungsdienst und wurde von der Internet Engineering Task Force (IETF) im September 1993 im Dokument RFC 1510 standardisiert. Clients erhalten Tickets vom Kerberos Key Distribution Center (KDC), die sie beim Herstellen einer Verbindung an den Server übergeben. Kerberos-Tickets stellen die Netzwerkanmeldeinformationen des Clients dar.
Wie NTLM verwendet das Kerberos-Protokoll den Domänennamen, den Benutzernamen und das Kennwort, um die Identität des Clients darzustellen. Das anfängliche Kerberos-Ticket, das vom KDC abgerufen wird, wenn sich der Benutzer anmeldet, basiert auf einem verschlüsselten Hash des Kennworts des Benutzers. Dieses anfängliche Ticket wird zwischengespeichert. Wenn der Benutzer versucht, eine Verbindung mit einem Server herzustellen, überprüft das Kerberos-Protokoll den Ticketcache auf ein gültiges Ticket für diesen Server. Wenn eines nicht verfügbar ist, wird das anfängliche Ticket für den Benutzer zusammen mit einer Anforderung für ein Ticket für den angegebenen Server an den KDC gesendet. Dieses Sitzungsticket wird dem Cache hinzugefügt und kann verwendet werden, um eine Verbindung mit demselben Server herzustellen, bis das Ticket abläuft.
Wenn ein Server CoQueryClientBlanket mithilfe des Kerberos-Protokolls aufruft, werden der Domänen- und Benutzername des Clients zurückgegeben. Wenn ein Server CoImpersonateClient aufruft, wird das Token des Clients zurückgegeben. Diese Verhaltensweisen sind identisch mit der Verwendung von NTLM.
Das Kerberos-Protokoll funktioniert über Computergrenzen hinweg. Die Client- und Servercomputer müssen sich beide in Domänen befinden, und diese Domänen müssen über eine Vertrauensstellung verfügen.
Das Kerberos-Protokoll erfordert die gegenseitige Authentifizierung und unterstützt sie remote. Der Client muss den Prinzipalnamen des Servers angeben, und die Identität des Servers muss genau mit diesem Prinzipalnamen übereinstimmen. Wenn der Client NULL für den Prinzipalnamen des Servers angibt oder der Prinzipalname nicht mit dem Server übereinstimmt, schlägt der Aufruf fehl.
Mit dem Kerberos-Protokoll können die Identitätswechselebenen zum Identifizieren, Identitätswechsel und Delegat verwendet werden. Wenn ein Server CoImpersonateClient aufruft, ist das zurückgegebene Token auf dem Computer für einen Zeitraum zwischen 5 Minuten und 8 Stunden gültig. Nach diesem Zeitpunkt kann es nur auf dem Servercomputer verwendet werden. Wenn ein Server als Aktivator ausgeführt wird und die Aktivierung mit dem Kerberos-Protokoll erfolgt, läuft das Token des Servers zwischen 5 Minuten und 8 Stunden nach der Aktivierung ab.
Das von Windows implementierte Kerberos v5-Authentifizierungsprotokoll unterstützt das Cloaking.
Zugehörige Themen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für