Протокол Kerberos

Помощь в настройки, перевод статей
Аватара пользователя
holpa
Admin
Сообщения: 627
Зарегистрирован: 04 сен 2014, 14:00

Протокол Kerberos

Непрочитанное сообщение holpa » 06 май 2018, 22:31

Часть 1
Протокол Kerberos пришел на смену NTLM. Если быть точнее то начиная с windows 2000 и по сегодняшний день - повсеместно используется протокол kerberos v5.

Основные отличия kerberos от NTLM:
- Более эффективная аутентификация на серверах. При аутентификации по протоколу NTLM серверу приложений приходится подключаться к контроллеру домена при проверке каждого клиента. С kerberos такая необходимость отпадает - здесь аутентификация производится за счет проверки удостоверения, представленного клиентом. Индивидуальное удостоверение клиент получает от контроллера единожды, после чего может неоднократно использовать его на протяжении всего сеанса работы в сети.

- Взаимная аутентификация. Протокол NTLM позволяет серверу идентифицировать своих клиентов, однако не предусматривает верификации сервера ни клиентам ни другим серверам. Этот протокол разрабатывался для сетей,в которых все серверы считались легитимными. В отличии от него, kerberos такого допущения не делает, поэтому проверяет обоих участников сетевого подключения, каждый из которых в результате может точно узнать, с кем поддерживает связь.

- Делегированная аутентификация. Когда клиент сети windows обращается к ресурсам, службы операционной системы, прежде всего, производят его идентификацию. Во многих случаях для выполнения этой операции службе достаточно информации на локальном компьютере. Как NTLM, так и kerberos, обеспечивают все данные, необходимые для идентификации пользователя на месте. Однако иногда их бывает не достаточно. Некоторые распределеннные приложения требуют, что бы при подключении к серверным службам на других компьютерах идентификация клиента производилась локально службой самого этого клиента. Решить проблему помог kerberos, где предусмотрен специальных механизм предоставления билетов, который позволяет на месте идентифицировать клиента при его подключении к другим системам. В протоколе NTLM такая возможность отсутствует.

-Упрощенное управление доверительными отношениями. Одно из важных достоинств взаимной аутентификации по протоколу kerberos состоит в том, что доверительные отношения между домена Windows 2000 по умолчанию является двусторонними и транзитивными. Благодаря этому в сетях с множеством доменов не придется устанавливать много явных доверительных отношений. Вместо этого все домены большой сети можно свести в дерево транзитивных отношений взаимного доверия. Удостоверение, выданное системой безопасности для любого домена, может приниматься во всех ветвях дерева. Если же сеть содержит несколько деревьев, то удостоверение любого из них будет приниматься во всем домене.

- Совместимость. В основу своей реализации протокола kerberos корпорация Майкрософт положила стандартные спецификации, рекомендованные группой IETF. Благодаря такому подходу удалось обеспечить аутентификацию клиентов Windows 2000 во всех сетях, которые поддерживают kerberos 5