Partager via


Protocole Kerberos v5

Le protocole d’authentification Kerberos v5 a un identificateur de service d’authentification de RPC_C_AUTHN_GSS_KERBEROS. Le protocole Kerberos définit la façon dont les clients interagissent avec un service d’authentification réseau et a été standardisé par l’Internet Engineering Task Force (IETF) en septembre 1993, dans le document RFC 1510. Les clients obtiennent des tickets du centre de distribution de clés Kerberos (KDC), et ils présentent ces tickets aux serveurs lorsque les connexions sont établies. Les tickets Kerberos représentent les informations d'identification réseau du client.

Comme NTLM, le protocole Kerberos utilise le nom de domaine, le nom d’utilisateur et le mot de passe pour représenter l’identité du client. Le ticket Kerberos initial obtenu à partir du KDC lorsque l’utilisateur se connecte est basé sur un hachage chiffré du mot de passe de l’utilisateur. Ce ticket initial est mis en cache. Lorsque l’utilisateur tente de se connecter à un serveur, le protocole Kerberos recherche dans le cache de tickets un ticket valide pour ce serveur. Si un ticket n’est pas disponible, le ticket initial de l’utilisateur est envoyé au KDC avec une demande de ticket pour le serveur spécifié. Ce ticket de session est ajouté au cache et peut être utilisé pour se connecter au même serveur jusqu’à l’expiration du ticket.

Lorsqu’un serveur appelle CoQueryClientBlanket à l’aide du protocole Kerberos, le nom de domaine et le nom d’utilisateur du client sont retournés. Lorsqu’un serveur appelle CoImpersonateClient, le jeton du client est retourné. Ces comportements sont les mêmes que lors de l’utilisation de NTLM.

Le protocole Kerberos fonctionne au-delà des limites de l’ordinateur. Les ordinateurs client et serveur doivent tous deux se trouver dans des domaines, et ces domaines doivent avoir une relation d’approbation.

Le protocole Kerberos nécessite une authentification mutuelle et la prend en charge à distance. Le client doit spécifier le nom principal du serveur, et l’identité du serveur doit correspondre exactement à ce nom principal. Si le client spécifie NULL pour le nom principal du serveur ou si le nom du principal ne correspond pas au serveur, l’appel échoue.

Avec le protocole Kerberos, les niveaux d’emprunt d’identité identifient, emprunt d’identité et délégué peuvent être utilisés. Lorsqu’un serveur appelle CoImpersonateClient, le jeton retourné est valide sur l’ordinateur pendant une période comprise entre 5 minutes et 8 heures. Après ce délai, il peut être utilisé uniquement sur l’ordinateur serveur. Si un serveur est « exécuté en tant qu’activateur » et que l’activation est effectuée avec le protocole Kerberos, le jeton du serveur expirera entre 5 minutes et 8 heures après l’activation.

Le protocole d’authentification Kerberos v5 implémenté par Windows prend en charge l’occultation.

Packages COM et sécurité