Microsoft Kerberos
Das Kerberos-Protokoll definiert, wie Clients mit einem Netzwerkauthentifizierungsdienst interagieren. Clients erhalten Tickets vom Kerberos Key Distribution Center (KDC), die sie beim Herstellen einer Verbindung an den Server übergeben. Kerberos-Tickets stellen die Netzwerkanmeldeinformationen des Clients dar.
Die Informationen in diesem Abschnitt enthalten theoretische Hintergrundinformationen zur Verwendung des Kerberos-Protokolls in einem Authentifizierungsprozess. Dies sind Hintergrundinformationen, die zum Verständnis eines Entwicklers über die Vorgänge im Hintergrund eines SSPI-Prozesses, der das Kerberos Version 5-Protokoll verwendet, erweitern können.
Das Kerberos-Authentifizierungsprotokoll bietet einen Mechanismus für die gegenseitige Authentifizierung zwischen Entitäten, bevor eine sichere Netzwerkverbindung hergestellt wird. In dieser Dokumentation werden die beiden Entitäten als Client und Server bezeichnet, obwohl sichere Netzwerkverbindungen zwischen Servern hergestellt werden können. Sowohl Client als auch Server können auch als Sicherheitsprinzipale bezeichnet werden.
Das Kerberos-Protokoll geht davon aus, dass Transaktionen zwischen Clients und Servern in einem offenen Netzwerk stattfinden, in dem die meisten Clients und viele Server physisch nicht sicher sind und Pakete, die sich entlang des Netzwerks befinden, nach Be willen überwacht und geändert werden können. Die angenommene Umgebung ist wie das heutige Internet, in dem sich ein Angreifer leicht als Client oder Server darstellen kann und die Kommunikation zwischen legitimen Clients und Servern leicht abhören oder manipulieren kann.
Dieser Abschnitt enthält folgende Informationen:
- Grundlegende Authentifizierungskonzepte
- Kerberos-Unterprotokolle
- Kerberos-Modell
- SSPI/Kerberos-Interoperabilität mit GSSAPI
Ihre Anwendung sollte nicht direkt auf das Kerberos-Sicherheitspaket zugreifen. Stattdessen sollte das Sicherheitspaket Negotiate verwendet werden. Durch aushandeln kann Ihre Anwendung erweiterte Sicherheitsprotokolle nutzen, wenn sie von den an der Authentifizierung beteiligten Systemen unterstützt werden. Derzeit wählt das Sicherheitspaket Aushandeln zwischen Kerberos und NTLM aus. Negotiate wählt Kerberos aus, es sei denn, es kann nicht von einem der an der Authentifizierung beteiligten Systeme verwendet werden.