Microsoft Kerberos
Il protocollo Kerberos definisce come i client interagiscono con un servizio di autenticazione di rete. I client ottengono ticket dal centro di distribuzione chiave Kerberos (KDC, Kerberos Key Distribution Center) e quindi presentano questi ticket ai server durante la procedura di connessione. I ticket Kerberos rappresentano le credenziali di rete del client.
In questa sezione vengono fornite informazioni di base teorica sull'uso del protocollo Kerberos in un processo di autenticazione. Si tratta di informazioni in background che possono aggiungere alla comprensione di uno sviluppatore di ciò che accade dietro le quinte in un processo SSPI che usa il protocollo Kerberos versione 5.
Il protocollo di autenticazione Kerberos fornisce un meccanismo per l'autenticazione reciproca tra entità prima che venga stabilita una connessione di rete sicura. In questa documentazione, le due entità vengono chiamate client e il server anche se è possibile effettuare connessioni di rete sicure tra server. Sia il client che il server possono essere definiti anche entità di sicurezza.
Il protocollo Kerberos presuppone che le transazioni tra client e server si trovino in una rete aperta in cui la maggior parte dei client e molti server non sono fisicamente sicuri e i pacchetti che viaggiano lungo la rete possono essere monitorati e modificati in base alla volontà. L'ambiente assunto è simile a Internet di oggi in cui un utente malintenzionato può facilmente rappresentare come un client o un server e può facilmente evitare o manomettere le comunicazioni tra client e server legittimi.
Questa sezione fornisce le informazioni seguenti:
- Concetti di base relativi all'autenticazione
- Sottoprotocol Kerberos
- Modello Kerberos
- Interoperabilità SSPI/Kerberos con GSSAPI
L'applicazione non deve accedere direttamente al pacchetto di sicurezza Kerberos; deve invece usare il pacchetto di sicurezza Negozia . La negoziazione consente all'applicazione di sfruttare i protocolli di sicurezza più avanzati se sono supportati dai sistemi coinvolti nell'autenticazione. Attualmente, il pacchetto di sicurezza Negozia seleziona tra Kerberos e NTLM. La negoziazione seleziona Kerberos a meno che non possa essere usata da uno dei sistemi coinvolti nell'autenticazione.