Kerberos Authentication Overview
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Kerberos est un protocole d’authentification utilisé pour vérifier l’identité d’un utilisateur ou d’un hôte. Cette rubrique contient des informations sur l’authentification Kerberos dans Windows Server 2012 et Windows 8.
Description de la fonctionnalité
Les systèmes d’exploitation Windows Server implémentent le protocole d’authentification Kerberos version 5 et des extensions pour l’authentification des clés publiques, les données d’autorisation de transport et la délégation. Le client d’authentification Kerberos est implémenté en tant que fournisseur SSP (Security Support Provider) et est accessible par le biais de l’interface SSPI (Security Support Provider Interface). L’authentification utilisateur initiale est intégrée à l’architecture à authentification unique Winlogon.
Le centre de distribution de clés Kerberos est intégré à d’autres services de sécurité Windows Server qui s’exécutent sur le contrôleur de domaine. Le contrôleur de domaine Kerberos (KDC) utilise la base de données Active Directory Domain Services (AD DS) comme base de données de son compte de sécurité. Les services de domaine Active Directory (AD DS) sont requis pour les implémentations Kerberos par défaut au sein du domaine ou de la forêt.
Cas pratiques
Les avantages offerts par l’authentification basée sur un domaine Kerberos sont les suivants :
Authentification déléguée.
Les services qui s’exécutent sur des systèmes d’exploitation Windows peuvent emprunter l’identité d’un ordinateur client lors de l’accès à des ressources au nom du client. Dans de nombreux cas, un service peut effectuer son travail pour le client en accédant aux ressources de l’ordinateur local. Lorsqu’un ordinateur client s’authentifie auprès du service, les protocoles NTLM et Kerberos fournissent les informations d’autorisation dont un service a besoin pour emprunter l’identité de l’ordinateur client localement. Toutefois, certaines applications distribuées sont conçues de telle sorte qu’un service frontal est obligé d’utiliser l’identité de l’ordinateur client lorsqu’il se connecte à des services principaux sur d’autres ordinateurs. L’authentification Kerberos prend en charge un mécanisme de délégation qui permet à un service d’agir au nom de son client lors de la connexion à d’autres services.
Authentification unique.
L’utilisation de l’authentification Kerberos dans un domaine ou dans une forêt permet à l’utilisateur ou au service d’accéder aux ressources autorisées par les administrateurs en évitant plusieurs demandes d’informations d’identification. Après l’authentification initiale de domaine via Winlogon, Kerberos gère les informations d’identification dans la forêt lors de chaque tentative d’accès aux ressources.
Interopérabilité.
L’implémentation par Microsoft du protocole Kerberos V5 est basée sur des spécifications normatives faisant l’objet de recommandations auprès du groupe de travail IETF. Par conséquent, dans les systèmes d’exploitation Windows, le protocole Kerberos pose les bases d’une interopérabilité avec les autres réseaux où il est utilisé à des fins d’authentification. En outre, Microsoft publie la documentation relative aux protocoles Windows pour l’implémentation du protocole Kerberos. Cette documentation contient les spécifications techniques, les limitations, les dépendances et le comportement du protocole spécifique de Windows pour l’implémentation Microsoft du protocole Kerberos.
Authentification plus efficace auprès des serveurs.
Avant Kerberos, il était possible d’utiliser l’authentification NTLM, qui requiert un serveur d’applications pour se connecter à un contrôleur de domaine afin d’authentifier chaque ordinateur ou service client. Avec le protocole Kerberos, les tickets de session renouvelables remplacent l’authentification directe. Le serveur n’est pas requis pour accéder à un contrôleur de domaine (à moins qu’il doive valider un certificat PAC (Privilege Attribute Certificate). Au lieu de cela, le serveur peut authentifier l’ordinateur client en examinant les informations d’identification présentées par le client. Les ordinateurs clients peuvent obtenir des informations d’identification pour un serveur en particulier et les réutiliser au cours d’une session de connexion réseau.
Authentification mutuelle.
À l’aide du protocole Kerberos, chacune des parties situées à chaque extrémité d’une connexion réseau peut vérifier que la partie distante est bien l’entité qu’elle prétend être. NTLM ne permet pas aux clients de vérifier l’identité d’un serveur ou à un serveur de vérifier l’identité d’un autre. L’authentification NTLM a été conçue pour un environnement réseau dans lequel les serveurs sont considérés comme authentiques. Le protocole Kerberos n’utilise pas ce genre d’hypothèse.