Kerberos Authentication Overview
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016
Kerberos는 사용자나 호스트의 ID를 확인하는 데 사용되는 인증 프로토콜입니다. 이 항목에는 Windows Server 2012 및 Windows 8의 Kerberos 인증에 대한 정보가 포함되어 있습니다.
기능 설명
Windows Server 운영 체제는 공용 키 인증, 권한 부여 데이터 전송 및 위임을 위한 Kerberos 버전 5 인증 프로토콜 및 확장을 구현합니다. Kerberos 인증 클라이언트는 SSP(Security Support Provider)로 구현되었으며, SSPI(Security Support Provider Interface)를 통해 액세스할 수 있습니다. 초기 사용자 인증은 Winlogon Single Sign-On 아키텍처와 통합됩니다.
Kerberos KDC(키 배포 센터)는 도메인 컨트롤러에서 실행되는 다른 Windows Server 보안 서비스와 통합됩니다. KDC는 도메인의 Active Directory Domain Services 데이터베이스를 보안 계정 데이터베이스로 사용합니다. Active Directory 도메인 서비스는 도메인 또는 포리스트 내의 기본 Kerberos 구현에 필요합니다.
유용한 팁
도메인 기반 인증에 Kerberos를 사용하는 경우의 이점은 다음과 같습니다.
위임된 인증.
Windows 운영 체제에서 실행되는 서비스는 클라이언트를 대신하여 리소스에 액세스할 때 클라이언트 컴퓨터를 가장할 수 있습니다. 대부분의 경우 서비스는 로컬 컴퓨터의 리소스에 액세스하여 클라이언트를 위한 작업을 완료할 수 있습니다. 클라이언트 컴퓨터가 서비스의 인증을 받으면 NTLM 및 Kerberos 프로토콜은 서비스가 로컬에서 클라이언트 컴퓨터를 가장하는 데 필요한 인증 정보를 제공합니다. 그러나 일부 분산 애플리케이션은 프런트 엔드 서비스가 다른 컴퓨터의 백 엔드 서비스에 연결할 때 클라이언트 컴퓨터의 ID를 사용해야 하도록 설계되었습니다. Kerberos 인증은 서비스가 다른 서비스에 연결될 때 클라이언트를 대신할 수 있도록 하는 위임 메커니즘을 지원합니다.
Single Sign-On.
포리스트 또는 도메인 내에서 Kerberos 인증을 사용하면 사용자나 서비스는 자격 증명을 여러 번 요청하지 않고도 관리자가 허용한 리소스에 액세스할 수 있습니다. Winlogon을 통한 초기 도메인 로그온 후 Kerberos는 리소스에 대한 액세스가 시도될 때마다 포리스트 전체에서 자격 증명을 관리합니다.
상호 운용성.
Microsoft의 Kerberos V5 프로토콜 구현은 IETF(Internet Engineering Task Force)에 대해 권장되는 표준 추적 사양을 기반으로 합니다. 따라서 Windows 운영 체제에서 Kerberos 프로토콜은 Kerberos 프로토콜이 인증에 사용되는 다른 네트워크와의 상호 운용성을 위한 토대를 제공합니다. 또한 Microsoft는 Kerberos 프로토콜을 구현하기 위한 Windows 프로토콜 설명서를 게시합니다. 설명서에는 Microsoft의 Kerberos 프로토콜 구현에 대한 기술 요구 사항, 제한 사항, 종속성 및 Windows 관련 프로토콜 동작이 포함되어 있습니다.
서버에 대한 보다 효율적인 인증.
Kerberos 이전의 NTLM 인증에서는 모든 클라이언트 컴퓨터나 서비스를 인증하기 위해 애플리케이션 서버가 도메인 컨트롤러에 연결해야 했습니다. Kerberos 프로토콜에서는 갱신 가능한 세션 티켓이 통과 인증 대신 사용됩니다. PAC(Privilege Attribute Certificate)의 유효성을 검사해야 하는 경우가 아니면 서버가 도메인 컨트롤러로 이동할 필요가 없습니다. 대신 서버는 클라이언트에서 제공하는 자격 증명을 검사하여 클라이언트 컴퓨터를 인증할 수 있습니다. 클라이언트 컴퓨터는 특정 서버용 자격 증명을 한 번 가져온 다음 네트워크 로그온 세션 전체에서 해당 자격 증명을 다시 사용할 수 있습니다.
상호 인증.
Kerberos 프로토콜을 사용하면 네트워크 연결 양쪽의 당사자가 연결 반대쪽의 당사자 엔터티를 확인할 수 있습니다. NTLM은 클라이언트가 서버의 ID를 확인하거나 한 서버가 다른 서버의 ID를 확인할 수 있도록 설정하지 않습니다. NTLM 인증은 서버를 모두 유효하다고 가정하는 네트워크 환경용으로 설계되었습니다. Kerberos 프로토콜에서는 이러한 가정이 사용되지 않습니다.