What's New in Kerberos Authentication

  • Article
  • 3 minutes de lecture

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016 et Windows 10

Prise en charge de KDC pour l’authentification cliente basée sur l’approbation de clé publique

À compter de Windows Server 2016, les KDC prennent en charge un mode de mappage de clé publique. Si la clé publique est provisionnée pour un compte, le KDC prend en charge Kerberos PKInit explicitement à l’aide de cette clé. Étant donné qu’il n’existe aucune validation de certificat, les certificats auto-signés sont pris en charge et l’assurance du mécanisme d’authentification n’est pas prise en charge.

L’approbation de clé est préférable lorsqu’elle est configurée pour un compte, quel que soit le paramètre UseSubjectAltName.

Prise en charge du client Kerberos et du KDC pour l’extension RFC 8070 PKInit Freshness

À compter de Windows 10, version 1607 et Windows Server 2016, les clients Kerberos tentent l’extension d’actualisation PKInit RFC 8070 pour les authentifications basées sur une clé publique.

À compter de Windows Server 2016, les KDC peuvent prendre en charge l’extension d’actualisation PKInit. Par défaut, les KDC n’offrent pas l’extension d’actualisation PKInit. Pour l’activer, utilisez la nouvelle prise en charge du KDC pour le paramètre de stratégie de modèle d’administration KDC PKInit Freshness Extension sur tous les contrôleurs de domaine du domaine. Lorsqu’il est configuré, les options suivantes sont prises en charge lorsque le domaine est Windows Server 2016 niveau fonctionnel de domaine (DFL) :

  • Désactivé : le KDC n’offre jamais l’extension PKInit Freshness et accepte les demandes d’authentification valides sans vérifier l’actualisation. Les utilisateurs ne recevront jamais le NOUVEAU SID d’identité de clé publique.
  • Pris en charge : l’extension PKInit Freshness est prise en charge sur demande. Les clients Kerberos qui s’authentifient correctement avec l’extension PKInit Freshness reçoivent le NOUVEAU SID d’identité de clé publique.
  • Obligatoire : l’extension PKInit Freshness est requise pour la réussite de l’authentification. Les clients Kerberos qui ne prennent pas en charge l’extension PKInit Freshness échouent toujours lors de l’utilisation des informations d’identification de clé publique.

Prise en charge des appareils joints à un domaine pour l’authentification à l’aide de la clé publique

À compter de Windows 10 version 1507 et Windows Server 2016, si un appareil joint à un domaine est en mesure d’inscrire sa clé publique liée auprès d’un contrôleur de domaine Windows Server 2016, l’appareil peut s’authentifier auprès de la clé publique à l’aide de l’authentification Kerberos auprès d’un Windows Server 2016 DC. Pour plus d’informations, consultez Authentification par clé publique de l’appareil joint à un domaine

Les clients Kerberos autorisent les noms d’hôte d’adresses IPv4 et IPv6 dans les noms de principal de service (SPN)

À compter de Windows 10 version 1507 et de Windows Server 2016, les clients Kerberos peuvent être configurés pour prendre en charge les noms d’hôte IPv4 et IPv6 dans les SPN.

Chemin d’accès au Registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Pour configurer la prise en charge des noms d’hôte d’adresse IP dans les SPN, créez une entrée TryIPSPN. Par défaut, cette entrée n’existe pas dans le Registre. Après avoir créé l’entrée, remplacez la valeur DWORD par 1. S’il n’est pas configuré, les noms d’hôte d’adresse IP ne sont pas tentés.

Si le SPN est inscrit dans Active Directory, l’authentification réussit avec Kerberos.

Pour plus d’informations, consultez le document Configuration de Kerberos pour les adresses IP.

Prise en charge de KDC pour le mappage de compte d’approbation de clés

À compter de Windows Server 2016, les contrôleurs de domaine prennent en charge le mappage de compte d’approbation de clés, ainsi que le secours vers altSecID et le nom d’utilisateur principal (UPN) existants dans le comportement SAN. Lorsque UseSubjectAltName est défini sur :

  • 0 : un mappage explicite est requis. Ensuite, il doit y avoir :
    • Approbation de clé (nouveau avec Windows Server 2016)
    • ExplicitAltSecID
  • 1 : Le mappage implicite est autorisé (par défaut) :
    1. Si l’approbation de clé est configurée pour le compte, elle est utilisée pour le mappage (nouveau avec Windows Server 2016).
    2. S’il n’y a pas d’UPN dans le SAN, altSecID est tenté pour le mappage.
    3. S’il existe un UPN dans le SAN, upN est tenté pour le mappage.

Voir aussi