Протокол Kerberos версии 5
Протокол проверки подлинности Kerberos версии 5 содержит идентификатор службы проверки подлинности RPC_C_AUTHN_GSS_KERBEROS. Протокол Kerberos определяет, как клиенты взаимодействуют со службой проверки подлинности сети и были стандартизированы в рабочей группе по проектированию Интернета (IETF) в сентябре 1993 года в документе RFC 1510. Клиенты получают билеты в центре распространения ключей Kerberos и предъявляют их серверам при установлении соединений. Билеты Kerberos представляют собой сетевые учетные данные клиента.
Как и NTLM, протокол Kerberos использует доменное имя, имя пользователя и пароль для представления удостоверения клиента. Первоначальный билет Kerberos, полученный из KDC, когда пользователь регистрируется на основе зашифрованного хэша пароля пользователя. Этот исходный билет кэшируется. Когда пользователь пытается подключиться к серверу, протокол Kerberos проверка кэш билетов для допустимого билета для этого сервера. Если он недоступен, первоначальный билет пользователя отправляется в KDC вместе с запросом на запрос на указанный сервер. Этот билет сеанса добавляется в кэш, и его можно использовать для подключения к тому же серверу до истечения срока действия билета.
Когда сервер вызывает CoQueryClientBlanket с помощью протокола Kerberos, возвращается доменное имя клиента и имя пользователя. Когда сервер вызывает CoImpersonateClient, возвращается маркер клиента. Такое же поведение, как и при использовании NTLM.
Протокол Kerberos работает по границам компьютера. Клиентские и серверные компьютеры должны находиться в доменах, а эти домены должны иметь отношение доверия.
Протокол Kerberos требует взаимной проверки подлинности и поддерживает его удаленно. Клиент должен указать имя субъекта сервера, а удостоверение сервера должно точно совпадать с этим именем субъекта. Если клиент задает значение NULL для имени субъекта-сервера или если имя участника не соответствует серверу, вызов завершится ошибкой.
С помощью протокола Kerberos уровни олицетворения определяют, олицетворение и делегат можно использовать. Когда сервер вызывает CoImpersonateClient, возвращенный маркер действителен от компьютера в течение некоторого периода времени от 5 минут до 8 часов. После этого его можно использовать только на серверном компьютере. Если сервер запущен от имени активатора, а активация выполняется с помощью протокола Kerberos, маркер сервера истекает в период от 5 минут до 8 часов после активации.
Протокол проверки подлинности Kerberos версии 5, реализованный WindowsÂ, поддерживает маскировку.
См. также