Microsoft Kerberos (en anglais)
Le protocole Kerberos définit la façon dont les clients interagissent avec un service d’authentification réseau. Les clients obtiennent des tickets du centre de distribution de clés Kerberos (KDC), et ils présentent ces tickets aux serveurs lorsque les connexions sont établies. Les tickets Kerberos représentent les informations d’identification réseau du client.
Les informations de cette section fournissent des informations théoriques sur l’utilisation du protocole Kerberos dans un processus d’authentification. Il s’agit d’informations générales qui peuvent ajouter à la compréhension par un développeur de ce qui se passe en arrière-plan dans un processus SSPI qui utilise le protocole Kerberos Version 5.
Le protocole d’authentification Kerberos fournit un mécanisme d’authentification mutuelle entre les entités avant l’établissement d’une connexion réseau sécurisée. Dans cette documentation, les deux entités sont appelées client et serveur, même si des connexions réseau sécurisées peuvent être établies entre les serveurs. Le client et le serveur peuvent également être appelés principaux de sécurité.
Le protocole Kerberos suppose que les transactions entre les clients et les serveurs ont lieu sur un réseau ouvert où la plupart des clients et de nombreux serveurs ne sont pas physiquement sécurisés, et les paquets circulant le long du réseau peuvent être surveillés et modifiés à volonté. L’environnement supposé est comme l’Internet d’aujourd’hui, où un attaquant peut facilement se présenter comme un client ou un serveur, et peut facilement espionner ou falsifier les communications entre les clients légitimes et les serveurs.
Cette section fournit les informations suivantes :
- Concepts d’authentification de base
- Sous-protocoles Kerberos
- Modèle Kerberos
- Interopérabilité SSPI/Kerberos avec GSSAPI
Votre application ne doit pas accéder directement au package de sécurité Kerberos ; à la place, il doit utiliser le package de sécurité Negotiate . Negotiate permet à votre application de tirer parti de protocoles de sécurité plus avancés s’ils sont pris en charge par les systèmes impliqués dans l’authentification. Actuellement, le package de sécurité Negotiate sélectionne entre Kerberos et NTLM. Negotiate sélectionne Kerberos, sauf s’il ne peut pas être utilisé par l’un des systèmes impliqués dans l’authentification.