What's New in Kerberos Authentication
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016 y Windows 10
Compatibilidad con KDC para la autenticación de cliente basada en clave pública de confianza
A partir de Windows Server 2016, los KDC admiten una forma de asignación de claves públicas. Si se proporciona la clave pública para una cuenta, el KDC admite PKInit kerberos explícitamente mediante esa clave. Puesto que no hay validación de certificados, no se admiten los certificados ni la garantía del mecanismo de autenticación.
Se prefiere una clave de confianza cuando se configura para una cuenta independientemente del valor UseSubjectAltName.
Compatibilidad del cliente Kerberos y KDC con la extensión de actualización PKInit de RFC 8070
A partir de Windows 10, versión 1607 y Windows Server 2016, los clientes Kerberos intentan la extensión de actualización PKInit de RFC 8070 para inicios de sesión basados en claves públicas.
A partir de Windows Server 2016, los Centros de distribución de claves pueden admitir la extensión de actualización PKInit. De forma predeterminada, los KDC no ofrecen la extensión de actualización PKInit. Para habilitarla, use la nueva compatibilidad de KDC con la configuración de directiva de plantilla administrativa KDC de la extensión de actualización de PKInit en todos los controladores de dominio (DC) del dominio. Cuando se configura, se admiten las siguientes opciones cuando el dominio es Windows Server 2016 nivel funcional de dominio (DFL):
- Deshabilitado: el KDC nunca ofrece la extensión de actualización PKInit y acepta solicitudes de autenticación válidas sin comprobar la actualización. Los usuarios nunca recibirán el SID de identidad de la clave pública nueva.
- Compatible: la extensión de actualización de PKInit se admite a petición. Los clientes Kerberos que se autentican correctamente con la extensión de actualización PKInit obtendrán el SID de identidad de clave pública actualizado.
- Obligatorio: la extensión de actualización de PKInit es necesaria para una autenticación correcta. En los clientes Kerberos que no admiten la extensión de actualización de PKInit siempre se producirá un error cuando se utilicen las credenciales de clave pública.
Compatibilidad con dispositivos unidos a un dominio para la autenticación mediante clave pública
A partir de Windows 10 versión 1507 y Windows Server 2016, si un dispositivo unido a un dominio puede registrar su clave pública enlazada con un controlador de dominio (DC) de Windows Server 2016, el dispositivo puede autenticarse con la clave pública mediante la autenticación Kerberos en un DC de Windows Server 2016. Para más información, consulte Autenticación de clave pública de dispositivo unido a un dominio.
Los clientes Kerberos permiten nombres de host de direcciones IPv4 e IPv6 en nombres de entidad de seguridad de servicio (SPN)
A partir de Windows 10 versión 1507 y Windows Server 2016, los clientes Kerberos se pueden configurar para admitir nombres de host IPv4 e IPv6 en SPN.
Ruta de acceso del registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Para configurar la compatibilidad con nombres de host de dirección IP en SPN, cree una entrada TryIPSPN. Esta entrada no existe en el registro de forma predeterminada. Después de haber creado la entrada, cambia el valor DWORD a 1. Si no está configurado, no se intentan los nombres de host de dirección IP.
Si el SPN está registrado en Active Directory, la autenticación se realiza correctamente con Kerberos.
Para obtener más información, consulte el documento Configuración de Kerberos para direcciones IP.
Compatibilidad con KDC para la asignación de cuentas de clave de confianza
A partir de Windows Server 2016, los controladores de dominio admiten la asignación de cuentas de clave de confianza, así como la reserva a AltSecID existente y el nombre principal de usuario (UPN) en el comportamiento de SAN. Cuando UseSubjectAltName se establece en:
- 0: se requiere una asignación explícita. A continuación, debe haber:
- Clave de confianza (nueva con Windows Server 2016)
- ExplicitAltSecID
- 1: se permite la asignación implícita (valor predeterminado):
- Si la clave de confianza está configurada para la cuenta, se usa para la asignación (nueva con Windows Server 2016).
- Si no hay ningún UPN en la SAN, se intenta asignar AltSecID.
- Si hay un UPN en la SAN, se intenta asignar el UPN.