Compartilhar via


Microsoft Kerberos

O protocolo Kerberos define como os clientes interagem com um serviço de autenticação de rede. Os clientes obtêm tíquetes do Centro de Distribuição de Chaves (KDC) Kerberos e apresentam esses tíquetes para servidores quando as conexões são estabelecidas. Os tíquetes Kerberos representam as credenciais de rede do cliente.

As informações nesta seção fornecem uma tela de fundo teórica sobre o uso do protocolo Kerberos em um processo de autenticação. Essas são informações em segundo plano que podem ser adicionadas à compreensão de um desenvolvedor sobre o que está acontecendo nos bastidores em um processo de SSPI que usa o protocolo Kerberos Versão 5.

O protocolo de autenticação Kerberos fornece um mecanismo para autenticação mútua entre entidades antes que uma conexão de rede segura seja estabelecida. Ao longo dessa documentação, as duas entidades são chamadas de cliente e servidor, embora conexões de rede seguras possam ser feitas entre servidores. O cliente e o servidor também podem ser chamados de entidades de segurança.

O protocolo Kerberos pressupõe que as transações entre clientes e servidores ocorram em uma rede aberta em que a maioria dos clientes e muitos servidores não são fisicamente seguros, e os pacotes que viajam pela rede podem ser monitorados e modificados à vontade. O ambiente assumido é como a Internet de hoje, em que um invasor pode facilmente se passar por um cliente ou um servidor e pode escutar ou adulterar facilmente as comunicações entre clientes e servidores legítimos.

Esta seção fornece as seguintes informações:

Seu aplicativo não deve acessar o pacote de segurança Kerberos diretamente; em vez disso, ele deve usar o pacote de segurança Negociar . Negociar permite que seu aplicativo aproveite os protocolos de segurança mais avançados se eles tiverem suporte dos sistemas envolvidos na autenticação. Atualmente, o pacote de segurança Negociar seleciona entre Kerberos e NTLM. Negociar seleciona Kerberos, a menos que não possa ser usado por um dos sistemas envolvidos na autenticação.