What's New in Kerberos Authentication

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016 et Windows 10

Prise en charge du centre de distribution de clés (KDC) pour l’authentification cliente basée sur l’approbation de clé publique

À compter de Windows Server 2016, les KDC prennent en charge un mode de mappage de clé publique. Si la clé publique est provisionnée pour un compte, le KDC prend en charge Kerberos PKInit explicitement à l’aide de cette clé. Étant donné qu’il n’y a pas de validation de certificat, les certificats auto-signés sont pris en charge, et l’assurance du mécanisme d’authentification n’est pas prise en charge.

L’approbation de clé est préférable lorsqu’elle est configurée pour un compte, quel que soit le paramètre UseSubjectAltName.

Prise en charge du client Kerberos et du KDC pour l’extension RFC 8070 PKInit Freshness

À compter de Windows 10, version 1607 et Windows Server 2016, les clients Kerberos tentent l’extension RFC 8070 PKInit Freshness pour les authentifications basées sur une clé publique.

À compter de Windows Server 2016, les KDC peuvent prendre en charge l’extension PKInit Freshness. Par défaut, les KDC n’offrent pas l’extension PKInit Freshness. Pour l’activer, utilisez le nouveau paramètre de stratégie de modèle d’administration KDC de l’extension PKInit Freshness sur tous les contrôleurs de domaine du domaine. Après configuration, les options suivantes sont prises en charge lorsque le domaine est au niveau fonctionnel de domaine (DFL) Windows Server 2016 :

• Désactivé : le KDC n’offre jamais l’extension PKInit Freshness et accepte les demandes d’authentification valides sans vérifier l’actualisation. Les utilisateurs ne recevront jamais le SID d’identité de clé publique actualisé.
• Pris en charge : l’extension PKInit Freshness est prise en charge sur demande. Les clients Kerberos qui sont authentifiés avec l’extension PKInit Freshness reçoivent le SID d’identité de clé publique actualisé.
• Obligatoire : l’extension PKInit Freshness est requise pour une authentification réussie. Les clients Kerberos qui ne prennent pas en charge l’extension PKInit Freshness échouent toujours lors de l’utilisation d’informations d’identification de clé publique.

Prise en charge des appareils joints à un domaine pour l’authentification à l’aide d’une clé publique

À compter de Windows 10 version 1507 et Windows Server 2016, si un appareil joint à un domaine est en mesure d’inscrire sa clé publique liée auprès d’un contrôleur de domaine Windows Server 2016, l’appareil peut s’authentifier avec la clé publique à l’aide de l’authentification Kerberos auprès d’un contrôleur de domaine Windows Server 2016. Pour plus d’informations, consultez Authentification par clé publique d’appareil joint au domaine

Les clients Kerberos autorisent les noms d’hôte d’adresses IPv4 et IPv6 dans les noms de principal de service (SPN)

À compter de Windows 10 version 1507 et de Windows Server 2016, les clients Kerberos peuvent être configurés pour prendre en charge les noms d’hôte IPv4 et IPv6 dans les SPN.

Chemin d’accès au Registre :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters

Pour configurer la prise en charge des noms d’hôte d’adresse IP dans les SPN, créez une entrée TryIPSPN. Par défaut, cette entrée n’existe pas dans le Registre. Après avoir créé l’entrée, remplacez la valeur DWORD par 1. À défaut de configuration, les noms d’hôte d’adresse IP ne sont pas tentés.

Si le SPN est inscrit dans Active Directory, l’authentification réussit avec Kerberos.

Pour plus d’informations, consultez le document Configuration de Kerberos pour les adresses IP.

Prise en charge du KDC pour le mappage de compte d’approbation de clé

À compter de Windows Server 2016, les contrôleurs de domaine prennent en charge le mappage de compte d’approbation de clé, ainsi que le repli vers AltSecID et le nom d’utilisateur principal (UPN) existants dans le comportement de SAN. Lorsque UseSubjectAltName a la valeur :

• 0 : un mappage explicite est requis. Ensuite, il doit y avoir :
  • Approbation de clé (nouveauté de Windows Server 2016)
  • ExplicitAltSecID
• 1 : Le mappage implicite est autorisé (par défaut) :
  1. Si l’approbation de clé est configurée pour le compte, elle est utilisée pour le mappage (nouveauté de Windows Server 2016).
  2. S’il n’y a pas d’UPN dans le SAN, AltSecID est tenté pour le mappage.
  3. S’il existe un UPN dans le SAN, l’UPN est tenté pour le mappage.

Voir aussi

• Présentation de l’authentification Kerberos