Kerberos-hitelesítés áttekintése
Érvényes: Windows Server 2012, Windows 8
A Kerberos egy olyan hitelesítési protokoll, amely a felhasználó vagy a gazdagép identitásának ellenőrzésére szolgál. Ez a témakör a Windows Server 2012 és Windows 8 rendszereken használatos Kerberos-hitelesítésről tartalmaz információkat.
A szolgáltatás leírása
A Windows Server operációs rendszerek a Kerberos 5-ös verziójú hitelesítési protokollt, a nyilvános kulcsos hitelesítés kiterjesztéseit, az engedélyezési adatok átvitelét és delegálását valósítják meg. A Kerberos hitelesítési ügyfél megvalósítása biztonsági támogatásszolgáltatóként (SSP) történik, és a biztonsági támogatásszolgáltató felületén (SSPI) keresztül érhető el. A felhasználók kezdeti hitelesítése integrálva van a Winlogon egyszeri bejelentkezési architektúrába.
A Kerberos kulcsszolgáltató (KDC) integrálva van a tartományvezérlőn futó egyéb Windows Server-beli biztonsági szolgáltatásokba. A KDC a tartomány Active Directory tartományi szolgáltatásainak adatbázisát használja a biztonsági fiók adatbázisaként. A tartományon vagy erdőn belüli, alapértelmezett Kerberos-hitelesítés megvalósításához Active Directory tartományi szolgáltatások szükségesek.
Gyakorlati alkalmazásmódok
A Kerberos tartományalapú hitelesítésre való használata a következő előnyöket biztosítja:
Delegált hitelesítés.
A Windows operációs rendszereken futó szolgáltatások megszemélyesíthetnek egy ügyfélszámítógépet, amikor az ügyfél nevében erőforrásokhoz férnek hozzá. A szolgáltatások gyakran végrehajtják a tevékenységeket az ügyfelek helyett a helyi számítógépen található erőforrások elérésével. Amikor az ügyfélszámítógép hitelesíti magát egy szolgáltatásban, a szolgáltatás számára az ügyfélszámítógép helyi megszemélyesítéséhez szükséges engedélyezési információkat az NTLM és a Kerberos protokollok biztosítják. Bizonyos elosztott alkalmazások esetében azonban az előtér-szolgáltatás kizárólag az ügyfélszámítógép identitásának felhasználásával tud más számítógépek háttér-szolgáltatásaihoz csatlakozni. A Kerberos-hitelesítés támogat egy olyan delegálási eljárást, amely engedélyezi a szolgáltatás számára, hogy az ügyfél nevében végezze a tevékenységét, amikor más szolgáltatásokhoz kapcsolódik.
Egyszeri bejelentkezés.
A Kerberos-hitelesítés tartományban vagy erdőben történő használata lehetővé teszi a felhasználó vagy a szolgáltatás számára a rendszergazdák által engedélyezett erőforrásokhoz való hozzáférést a hitelesítő adatok többszöri kérése nélkül. Miután először bejelentkezik a tartományba a Winlogon felületén, a Kerberos a teljes erdőben kezeli a hitelesítő adatokat, amikor erőforrásokat próbál meg elérni.
Együttműködési lehetőség.
A Kerberos V5 protokoll a Microsoft általi történő megvalósítása az Internet Engineering Task Force (IETF) részére javasolt, szabványkövető specifikációk alapján történik. Ennek eredményeképpen a Windows operációs rendszerekben a Kerberos protokoll alapvető szerepet játszik az egyéb hálózatokkal való együttműködésben, amelyek a Kerberos protokollt használják a hitelesítéshez. A Microsoft továbbá a Windows Protocols dokumentáció kiadásával segíti a Kerberos protokoll megvalósítását. A dokumentáció a Kerberos protokoll Microsoft-környezetben történő megvalósításának műszaki követelményeit, korlátozásait, függőségeit és a protokoll Windows-specifikus viselkedését írja le.
Hatékonyabb hitelesítés a kiszolgálók irányába.
A Kerberos előtt az NTLM-hitelesítést lehetett használni, ez esetben az összes ügyfélszámítógép vagy szolgáltatás hitelesítéséhez alkalmazáskiszolgálóra van szükség a tartományvezérlőhöz történő csatlakozáshoz. A Kerberos protokoll megújítható munkajegyeket használ az átmenő hitelesítés helyett. A kiszolgálónak nem szükséges tartományvezérlőhöz csatlakoznia (kivéve, ha jogosultsági attribútum-tanúsítványt (PAC) kell érvényesítenie). Ehelyett a kiszolgáló az ügyfél által megadott hitelesítő adatok vizsgálatával hitelesítheti az ügyfélszámítógépet. Az ügyfélszámítógépeknek elegendő egyszer beszerezni az adott kiszolgálóhoz tartozó hitelesítő adatokat, majd a teljes hálózati bejelentkezési munkamenet során újra felhasználhatják őket.
Kölcsönös hitelesítés.
A Kerberos protokoll használatával a hálózati kapcsolat két végén lévő fél kölcsönösen ellenőrizheti a másik fél azonosságát. Az NTLM nem engedélyezi az ügyfelek számára a kiszolgálói identitás ellenőrzését, illetve egy kiszolgáló számára azt, hogy egy másik kiszolgáló identitását ellenőrizze. Az NTLM-hitelesítés olyan hálózati környezetekhez készült, ahol feltételezhető a kiszolgálók eredetisége. A Kerberos protokoll nem feltételezi az eredetiséget.
Új és módosított funkciók
A Kerberos windowsos megvalósításának módosításáról a következő helyen olvashat leírást: A Kerberos-hitelesítés újdonságai.
Lásd még:
Tartalom típusa |
Hivatkozások |
|---|---|
Termékértékelés |
A Kerberos általi korlátozott delegálás áttekintése Dinamikus hozzáférés-vezérlés: Forgatókönyv áttekintése Hozzáférés-vezérlési és engedélyezési áttekintés Új és módosított funkciók Újdonságok az Active Directory tartományi szolgáltatásokkal (AD DS) kapcsolatban |
Tervezés |
|
Telepítés |
Még nem érhető el |
Műveletek |
Még nem érhető el |
Hibaelhárítás |
Még nem érhető el |
Biztonság |
Még nem érhető el |
Eszközök és beállítások |
[MS-KILE]: A Kerberos protokoll bővítményei [MS-KKDCP]: A Kerberos kulcsszolgáltató (KDC) proxyprotokoll-specifikációja |
Közösségi források |
|
Kapcsolódó technológiák |