Microsoft Kerberos

Протокол Kerberos определяет, как клиенты взаимодействуют со службой проверки подлинности сети. Клиенты получают билеты в центре распространения ключей Kerberos и предъявляют их серверам при установлении соединений. Билеты Kerberos представляют сетевые учетные данные клиента.

Сведения в этом разделе содержат теоретические сведения об использовании протокола Kerberos в процессе проверки подлинности. Это фоновая информация, которая может добавить в понимание разработчика о том, что происходит в фоновом режиме в процессе SSPI, который использует протокол Kerberos версии 5.

Протокол проверки подлинности Kerberos предоставляет механизм взаимной проверки подлинности между сущностями до установления безопасного сетевого подключения. В этой документации две сущности называются клиентом и сервером, даже если между серверами можно выполнять безопасные сетевые подключения. Как клиент, так и сервер также могут называться субъектами безопасности.

Протокол Kerberos предполагает, что транзакции между клиентами и серверами выполняются в открытой сети, где большинство клиентов и многие серверы физически не защищены, и пакеты, передаваемые по сети, могут отслеживаться и изменяться. Предполагаемая среда похожа на сегодняшние Интернет, где злоумышленник может легко представлять себя как клиент или сервер, и может легко прослушивать или подделать обмен данными между законными клиентами и серверами.

В этом разделе содержится следующая информация.

Приложение не должно напрямую обращаться к пакету безопасности Kerberos; Вместо этого он должен использовать пакет безопасности Negotiate . Согласование позволяет приложению использовать более сложные протоколы безопасности , если они поддерживаются системами, участвующими в проверке подлинности. В настоящее время пакет безопасности Negotiate выбирает между Kerberos и NTLM. Согласование выбирает Kerberos, если он не может использоваться одной из систем, участвующих в проверке подлинности.