Gambaran Umum Autentikasi Kerberos
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Kerberos adalah protokol autentikasi yang digunakan untuk memverifikasi identitas pengguna atau host. Topik ini berisi informasi tentang autentikasi Kerberos di Windows Server 2012 dan Windows 8.
Deskripsi fitur
Sistem operasi Windows Server menerapkan protokol autentikasi Kerberos versi 5 dan ekstensi untuk autentikasi kunci publik, memindahkan data otorisasi, dan delegasi. Klien autentikasi Kerberos diimplementasikan sebagai penyedia dukungan keamanan (SSP), dan dapat diakses melalui Antarmuka Penyedia Dukungan Keamanan (SSPI). Autentikasi pengguna awal terintegrasi dengan arsitektur akses menyeluruh Winlogon.
Kerberos Key Distribution Center (KDC) terintegrasi dengan layanan keamanan Windows Server lainnya yang berjalan pada pengendali domain. KDC menggunakan database Active Directory Domain Services domain sebagai database akun keamanannya. Active Directory Domain Services diperlukan untuk implementasi Kerberos default dalam domain atau forest.
Aplikasi praktis
Keuntungan yang diperoleh dengan menggunakan Kerberos untuk autentikasi berbasis domain adalah:
Autentikasi yang didelegasikan.
Layanan yang berjalan pada sistem operasi Windows dapat meniru komputer klien saat mengakses sumber daya atas nama klien. Dalam banyak kasus, layanan dapat menyelesaikan pekerjaannya untuk klien dengan mengakses sumber daya di komputer lokal. Ketika komputer klien mengautentikasi ke layanan, protokol NTLM dan Kerberos memberikan informasi otorisasi yang diperlukan layanan untuk meniru komputer klien secara lokal. Namun, beberapa aplikasi terdistribusi dirancang sehingga layanan front-end harus menggunakan identitas komputer klien saat terhubung ke layanan back-end di komputer lain. Autentikasi Kerberos mendukung mekanisme delegasi yang memungkinkan layanan bertindak atas nama kliennya saat menyambungkan ke layanan lain.
Akses menyeluruh.
Menggunakan autentikasi Kerberos dalam domain atau di forest memungkinkan pengguna atau layanan mengakses sumber daya yang diizinkan oleh administrator tanpa beberapa permintaan kredensial. Setelah masuk domain awal melalui Winlogon, Kerberos mengelola kredensial di seluruh forest setiap kali akses ke sumber daya dicoba.
Interoperabilitas.
Implementasi protokol Kerberos V5 oleh Microsoft didasarkan pada spesifikasi pelacakan standar yang direkomendasikan ke Internet Engineering Task Force (IETF). Akibatnya, dalam sistem operasi Windows, protokol Kerberos meletakkan fondasi untuk interoperabilitas dengan jaringan lain di mana protokol Kerberos digunakan untuk autentikasi. Selain itu, Microsoft menerbitkan dokumentasi Protokol Windows untuk menerapkan protokol Kerberos. Dokumentasi ini berisi persyaratan teknis, batasan, dependensi, dan perilaku protokol khusus Windows untuk implementasi protokol Kerberos Microsoft.
Autentikasi yang lebih efisien ke server.
Sebelum Kerberos, autentikasi NTLM dapat digunakan, yang memerlukan server aplikasi untuk terhubung ke pengendali domain untuk mengautentikasi setiap komputer atau layanan klien. Dengan protokol Kerberos, tiket sesi yang dapat diperpanjang menggantikan autentikasi pass-through. Server tidak diperlukan untuk membuka pengendali domain (kecuali perlu memvalidasi Sertifikat Atribut Hak Istimewa (PAC)). Sebagai gantinya, server dapat mengautentikasi komputer klien dengan memeriksa kredensial yang disajikan oleh klien. Komputer klien dapat memperoleh kredensial untuk server tertentu sekali lalu menggunakan kembali kredensial tersebut di seluruh sesi masuk jaringan.
Autentikasi timah.
Dengan menggunakan protokol Kerberos, pihak di salah satu akhir koneksi jaringan dapat memverifikasi bahwa pihak di ujung lain adalah entitas yang diklaimnya. NTLM tidak memungkinkan klien untuk memverifikasi identitas server atau mengaktifkan satu server untuk memverifikasi identitas server lain. Autentikasi NTLM dirancang untuk lingkungan jaringan di mana server diasumsikan asli. Protokol Kerberos tidak membuat asumsi seperti itu.