Kerberos v5 프로토콜
Kerberos v5 인증 프로토콜에는 RPC_C_AUTHN_GSS_KERBEROS 인증 서비스 식별자가 있습니다. Kerberos 프로토콜은 클라이언트가 네트워크 인증 서비스와 상호 작용하는 방법을 정의하고 문서 RFC 1510에서 1993년 9월 IETF(인터넷 엔지니어링 태스크 포스)에 의해 표준화되었습니다. 클라이언트는 Kerberos KDC(키 배포 센터)로부터 티켓을 가져와서 연결할 때 서버에 제출합니다. Kerberos 티켓은 클라이언트의 네트워크 자격 증명을 나타냅니다.
NTLM과 마찬가지로 Kerberos 프로토콜은 도메인 이름, 사용자 이름 및 암호를 사용하여 클라이언트의 ID를 나타냅니다. 사용자가 로그온할 때 KDC에서 가져온 초기 Kerberos 티켓은 사용자 암호의 암호화된 해시를 기반으로 합니다. 이 초기 티켓은 캐시됩니다. 사용자가 서버에 연결하려고 하면 Kerberos 프로토콜은 티켓 캐시에서 해당 서버에 대한 유효한 티켓을 확인합니다. 사용할 수 없는 경우 사용자에 대한 초기 티켓이 지정된 서버에 대한 티켓 요청과 함께 KDC로 전송됩니다. 해당 세션 티켓은 캐시에 추가되며 티켓이 만료될 때까지 동일한 서버에 연결하는 데 사용할 수 있습니다.
서버가 Kerberos 프로토콜을 사용하여 CoQueryClientBlanket 을 호출하면 클라이언트의 도메인 이름과 사용자 이름이 반환됩니다. 서버가 CoImpersonateClient를 호출하면 클라이언트의 토큰이 반환됩니다. 이러한 동작은 NTLM을 사용하는 경우와 동일합니다.
Kerberos 프로토콜은 컴퓨터 경계를 넘어 작동합니다. 클라이언트 컴퓨터와 서버 컴퓨터는 모두 도메인에 있어야 하며 해당 도메인에는 트러스트 관계가 있어야 합니다.
Kerberos 프로토콜은 상호 인증이 필요하며 원격으로 지원합니다. 클라이언트는 서버의 주체 이름을 지정해야 하며 서버의 ID는 해당 보안 주체 이름과 정확히 일치해야 합니다. 클라이언트가 서버의 주체 이름에 대해 NULL 을 지정하거나 보안 주체 이름이 서버와 일치하지 않으면 호출이 실패합니다.
Kerberos 프로토콜을 사용하면 가장 수준을 식별, 가장 및 대리자를 사용할 수 있습니다. 서버가 CoImpersonateClient를 호출하면 반환된 토큰은 5분에서 8시간 사이의 일정 기간 동안 컴퓨터에서 유효합니다. 이 시간 후에는 서버 컴퓨터에서만 사용할 수 있습니다. 서버가 "활성화자로 실행"되며 Kerberos 프로토콜을 사용하여 활성화가 수행되는 경우 서버의 토큰은 활성화 후 5분에서 8시간 사이에 만료됩니다.
WindowsÂ에서 구현된 Kerberos v5 인증 프로토콜은 은폐를 지원합니다.
관련 항목
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기