Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Protokół uwierzytelniania Kerberos v5 ma identyfikator usługi uwierzytelniania RPC_C_AUTHN_GSS_KERBEROS. Protokół Kerberos definiuje sposób interakcji klientów z usługą uwierzytelniania sieciowego i został ustandaryzowany przez Internet Engineering Task Force (IETF) we wrześniu 1993 r. w dokumencie RFC 1510. Klienci uzyskują bilety z centrum dystrybucji kluczy Protokołu Kerberos (KDC) i przedstawiają te bilety serwerom podczas nawiązywania połączeń. Bilety protokołu Kerberos reprezentują poświadczenia sieciowe klienta.
Podobnie jak NTLM, protokół Kerberos używa nazwy domeny, nazwy użytkownika i hasła do reprezentowania tożsamości klienta. Początkowy bilet protokołu Kerberos uzyskany z centrum dystrybucji kluczy, gdy użytkownik loguje się na podstawie zaszyfrowanego skrótu hasła użytkownika. Ten początkowy bilet jest buforowany. Gdy użytkownik próbuje nawiązać połączenie z serwerem, protokół Kerberos sprawdza pamięć podręczną biletów dla prawidłowego biletu dla tego serwera. Jeśli jeden z nich nie jest dostępny, początkowy bilet dla użytkownika jest wysyłany do centrum dystrybucji kluczy wraz z żądaniem biletu dla określonego serwera. Ten bilet sesji jest dodawany do pamięci podręcznej i może służyć do łączenia się z tym samym serwerem do momentu wygaśnięcia biletu.
Gdy serwer wywołuje CoQueryClientBlanket przy użyciu protokołu Kerberos, zwracana jest nazwa domeny klienta i nazwa użytkownika. Gdy serwer wywołuje CoImpersonateClient, zwracany jest token klienta. Te zachowania są takie same jak w przypadku korzystania z protokołu NTLM.
Protokół Kerberos działa w granicach komputera. Komputery klienckie i serwerowe muszą znajdować się w domenach, a te domeny muszą mieć relację zaufania.
Protokół Kerberos wymaga wzajemnego uwierzytelniania i obsługuje go zdalnie. Klient musi określić główną nazwę serwera, a tożsamość serwera musi być dokładnie zgodna z tą główną nazwą. Jeśli klient określa null dla głównej nazwy serwera lub jeśli główna nazwa nie jest zgodna z serwerem, wywołanie zakończy się niepowodzeniem.
W przypadku protokołu Kerberos można używać poziomów personifikacji, personifikacji i delegata. Gdy serwer wywołuje CoImpersonateClient, zwrócony token jest ważny poza komputerem przez pewien czas od 5 minut do 8 godzin. Po tym czasie można go używać tylko na komputerze serwera. Jeśli serwer jest "uruchamiany jako aktywacja", a aktywacja odbywa się przy użyciu protokołu Kerberos, token serwera wygaśnie od 5 minut do 8 godzin po aktywacji.
Protokół uwierzytelniania Kerberos w wersji 5 implementowany przez system Windows obsługuje klonowanie.
Tematy pokrewne