Partilhar via


Kerberos Authentication Overview

Kerberos é um protocolo de autenticação usado para verificar a identidade de um usuário ou host. Este tópico contém informações sobre a autenticação do Kerberos no Windows Server 2012 e Windows 8.

Descrição do recurso

Os sistemas operacionais Windows Server implementam o protocolo de autenticação Kerberos versão 5 e extensões para autenticação de chave pública, transporte de dados de autorização e delegação. O cliente de autenticação Kerberos é implementado como um SSP (provedor de suporte de segurança) e pode ser acessado na interface SSPI. A autenticação de usuário inicial é integrada à arquitetura de logon único Winlogon.

O KDC (Centro de Distribuição de Chaves Kerberos) está integrado aos serviços de segurança do Windows Server que executam o controlador de domínio. O KDC usa o banco de dados do Active Directory Domain Services como o banco de dados de contas de segurança. Os Serviços de Domínio do Active Directory são exigidos para implementações Kerberos padrão no domínio ou na floresta.

Aplicações práticas

Os benefícios obtidos usando o Kerberos para autenticação baseada em domínio são:

  • Autenticação delegada.

    Os serviços que são executados em sistemas operacionais Windows podem representar um computador cliente ao acessar recursos em nome do cliente. Em muitos casos, um serviço pode concluir seu trabalho para o cliente ao acessar recursos no computador local. Quando um computador cliente é autenticado para o serviço, o protocolo Kerberos e NTLM fornecem as informações de autorização de que um serviço precisa para representar o computador cliente local. No entanto, alguns aplicativos distribuídos são projetados de modo que um serviço de front-end precise usar a identidade do computador cliente ao se conectar a serviços back-end em outros computadores. A autenticação Kerberos dá suporte a um mecanismo de delegação que permite que um serviço aja em nome de seu cliente ao se conectar a outros serviços.

  • Logon único.

    Usar a autenticação Kerberos em um domínio ou em uma floresta permite que o usuário ou o serviço acesse os recursos permitidos por administradores sem várias solicitações de credenciais. Depois do logon do domínio inicial por meio do Winlogon, o Kerberos gerencia as credenciais em toda a floresta sempre que há tentativa de acesso aos recursos.

  • Interoperabilidade.

    A implementação do protocolo Kerberos V5 pela Microsoft é baseada em especificações de acompanhamento de padrões que são recomendadas para IETF (Internet Engineering Task Force). Como resultado, em sistemas operacionais Windows, o protocolo Kerberos estabelece uma base para a interoperabilidade com outras redes em que o protocolo Kerberos é usado para autenticação. Além disso, a Microsoft publica documentação de protocolos do Windows para implementar o protocolo Kerberos. A documentação contém requisitos técnicos, limitações, dependências e comportamento de protocolo específico do Windows para a implementação da Microsoft do protocolo do Kerberos.

  • Autenticação mais eficiente para servidores.

    Antes do Kerberos, a autenticação NTLM podia ser usada, que exige que um servidor de aplicativos conecte-se a um controlador de domínio para autenticar cada computador cliente ou serviço. Com o protocolo Kerberos, tíquetes de sessão renováveis substituem a autenticação de passagem. O servidor não precisa ir para um controlador de domínio (a menos que precise validar um PAC (certificado de atributo privilégio)). Em vez disso, o servidor pode autenticar o computador cliente examinando as credenciais apresentadas pelo cliente. Computadores cliente podem obter credenciais para um servidor específico uma vez e então reutilizá-las durante uma sessão de logon de rede.

  • Autenticação mútua.

    Ao utilizar o protocolo Kerberos, uma parte na extremidade de uma conexão de rede pode verificar se a parte no outra extremidade é a entidade que ela diz ser. A NTLM não permite que os clientes verifiquem a identidade do servidor ou habilitem um servidor a verificar a identidade de outro. A autenticação NTLM foi projetada para um ambiente de rede em que supõe-se que os servidores sejam genuínos. O protocolo Kerberos não faz essa suposição.

Consulte Também

Visão geral da autenticação do Windows