Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Kerberos é um protocolo de autenticação usado para verificar a identidade de um usuário ou host. Este tópico contém informações sobre a autenticação Kerberos no Windows Server e no Windows.
Os sistemas operacionais Windows Server implementam o protocolo de autenticação Kerberos versão 5 e extensões para autenticação de chave pública, transporte de dados de autorização e delegação. O cliente de autenticação Kerberos é implementado como um SSP (provedor de suporte de segurança) e pode ser acessado na interface SSPI. A autenticação inicial do usuário é integrada à arquitetura de logon único do Winlogon.
O KDC (Centro de Distribuição de Chaves Kerberos) está integrado aos serviços de segurança do Windows Server que executam o controlador de domínio. O KDC usa o banco de dados do Active Directory Domain Services como o banco de dados de contas de segurança. Os Serviços de Domínio do Active Directory são exigidos para implementações Kerberos padrão no domínio ou na floresta.
Aplicações práticas
Os benefícios obtidos usando Kerberos para autenticação baseada em domínio são descritos nas seções a seguir.
Autenticação delegada
Os serviços que são executados em sistemas operacionais Windows podem representar um computador cliente ao acessar recursos em nome do cliente. Em muitos casos, um serviço pode concluir seu trabalho para o cliente ao acessar recursos no computador local. Quando um computador cliente é autenticado para o serviço, o protocolo Kerberos e NTLM fornecem as informações de autorização de que um serviço precisa para representar o computador cliente local. No entanto, alguns aplicativos distribuídos são projetados de modo que um serviço de front-end precise usar a identidade do computador cliente ao se conectar a serviços back-end em outros computadores. A autenticação Kerberos dá suporte a um mecanismo de delegação que permite que um serviço aja em nome de seu cliente ao se conectar a outros serviços.
Acesso único
Usar a autenticação Kerberos em um domínio ou em uma floresta permite que o usuário ou o serviço acesse os recursos permitidos por administradores sem várias solicitações de credenciais. Depois do logon inicial no domínio por meio do Winlogon, o Kerberos gerencia as credenciais em toda a floresta sempre que há tentativas de acesso a recursos.
Interoperabilidade
A implementação do protocolo Kerberos V5 pela Microsoft é baseada em especificações de padrões recomendadas ao Internet Engineering Task Force (IETF). Como resultado, em sistemas operacionais Windows, o protocolo Kerberos estabelece uma base para a interoperabilidade com outras redes em que o protocolo Kerberos é usado para autenticação. Além disso, a Microsoft publica documentação de protocolos do Windows para implementar o protocolo Kerberos. A documentação contém requisitos técnicos, limitações, dependências e comportamento de protocolo específico do Windows para a implementação da Microsoft do protocolo do Kerberos.
Autenticação mais eficiente para servidores
Antes do Kerberos, a autenticação NTLM podia ser usada, que exige que um servidor de aplicativos conecte-se a um controlador de domínio para autenticar cada computador cliente ou serviço. Com o protocolo Kerberos, tíquetes de sessão renováveis substituem a autenticação de passagem. O servidor não precisa ir para um controlador de domínio, a menos que precise validar um Certificado de Atributo de Privilégio (PAC). Em vez disso, o servidor pode autenticar o computador cliente examinando as credenciais apresentadas pelo cliente. Computadores cliente podem obter credenciais para um servidor específico uma vez e então reutilizá-las durante uma sessão de logon de rede.
Autenticação mútua
Ao utilizar o protocolo Kerberos, uma parte na extremidade de uma conexão de rede pode verificar se a parte na outra extremidade é de fato a entidade que ela diz ser. A NTLM não permite que os clientes verifiquem a identidade do servidor ou habilitem um servidor a verificar a identidade de outro. A autenticação NTLM foi projetada para um ambiente de rede em que supõe-se que os servidores sejam genuínos. O protocolo Kerberos não faz essa suposição.