Microsoft Kerberos
El protocolo Kerberos define cómo interactúan los clientes con un servicio de autenticación de red. Los clientes obtienen vales del Centro de distribución de claves Kerberos (KDC) y presentan estos vales a los servidores cuando se establecen las conexiones. Los vales kerberos representan las credenciales de red del cliente.
La información de esta sección proporciona información teórica sobre el uso del protocolo Kerberos en un proceso de autenticación. Se trata de información general que puede agregar a la comprensión de un desarrollador de lo que sucede en segundo plano en un proceso SSPI que usa el protocolo Kerberos versión 5.
El protocolo de autenticación Kerberos proporciona un mecanismo para la autenticación mutua entre entidades antes de establecer una conexión de red segura. A lo largo de esta documentación, las dos entidades se denominan cliente y servidor, aunque se puedan realizar conexiones de red seguras entre servidores. Tanto el cliente como el servidor también se pueden denominar entidades de seguridad.
El protocolo Kerberos supone que las transacciones entre clientes y servidores tienen lugar en una red abierta en la que la mayoría de los clientes y muchos servidores no son físicamente seguros, y los paquetes que viajan a lo largo de la red se pueden supervisar y modificar a voluntad. El entorno asumido es como Internet de hoy en día, donde un atacante puede plantearse fácilmente como un cliente o un servidor, y puede interceptar o alterar fácilmente las comunicaciones entre clientes y servidores legítimos.
En esta sección se proporciona la siguiente información:
- Conceptos básicos de autenticación
- Subprotocolos de Kerberos
- Modelo kerberos
- Interoperabilidad de SSPI/Kerberos con GSSAPI
La aplicación no debe acceder directamente al paquete de seguridad kerberos; en su lugar, debe usar el paquete de seguridad Negotiate . Negotiate permite que la aplicación aproveche los protocolos de seguridad más avanzados si son compatibles con los sistemas implicados en la autenticación. Actualmente, el paquete de seguridad Negotiate selecciona entre Kerberos y NTLM. Negotiate selecciona Kerberos a menos que uno de los sistemas implicados en la autenticación no pueda usarlo.