roxon.best

Come funziona lautenticazione kerberos

Panoramica

dell'autenticazione Kerberos Kerberos è un protocollo di autenticazione utilizzato per verificare l'identità di un utente o di un host. In questo argomento sono contenute informazioni sull'autenticazione Kerberos in Windows Server 2012 e Windows 8.

Descrizione della funzionalità

I sistemi operativi Windows Server implementano il protocollo di autenticazione Kerberos versione 5 e le estensioni per l'autenticazione con chiave pubblica, il trasporto dei dati di autorizzazione e la delega. Il client di autenticazione Kerberos viene implementato come provider di supporto per la sicurezza (SSP) ed è possibile accedervi tramite l'interfaccia SSPI (Security Support Provider Interface). L'autenticazione utente iniziale è integrata con l'architettura Single Sign-On Winlogon.

Il Centro distribuzione chiavi Kerberos (KDC) è integrato con altri servizi di sicurezza di Windows Server eseguiti nel controller di dominio. Il KDC utilizza il dominio Active Directory del dominio Services come database degli account di sicurezza. Servizi di dominio Active Directory è necessario per le implementazioni Kerberos predefinite all'interno del dominio o della foresta.

I

vantaggi ottenuti dall'utilizzo di Kerberos per l'autenticazione basata su dominio sono:

  • Autenticazione delegata. I

    servizi eseguiti nei sistemi operativi Windows possono rappresentare un computer client quando accedono alle risorse per conto del client. In molti casi, un servizio può completare il proprio lavoro per il client accedendo alle risorse nel computer locale. Quando un computer client esegue l'autenticazione al servizio, NTLM e il protocollo Kerberos forniscono le informazioni di autorizzazione necessarie a un servizio per rappresentare il computer client in locale. Tuttavia, alcune applicazioni distribuite sono progettate in modo che un servizio front-end debba utilizzare l'identità del computer client quando si connette a servizi back-end in altri elaboratori. L'autenticazione Kerberos supporta un meccanismo di delega che consente a un servizio di agire per conto del client durante la connessione ad altri servizi.

  • Single Sign-On.

    L'utilizzo dell'autenticazione Kerberos all'interno di un dominio o di una foresta consente all'utente o al servizio di accedere alle risorse consentite dagli amministratori senza più richieste di credenziali. Dopo l'accesso iniziale al dominio tramite Winlogon, Kerberos gestisce le credenziali in tutta la foresta ogni volta che si tenta di accedere alle risorse.

  • Interoperabilità.

    L'implementazione del protocollo Kerberos V5 da parte di Microsoft si basa su specifiche di traccia degli standard consigliate all'Internet Engineering Task Force (IETF). Di conseguenza, nei sistemi operativi Windows, il protocollo Kerberos pone le basi per l'interoperabilità con altre reti in cui il protocollo Kerberos viene utilizzato per autenticazione. Inoltre, Microsoft pubblica la documentazione relativa ai protocolli Windows per l'implementazione del protocollo Kerberos. La documentazione contiene i requisiti tecnici, le limitazioni, le dipendenze e il comportamento del protocollo specifico di Windows per l'implementazione del protocollo Kerberos da parte di Microsoft.

  • Autenticazione più efficiente per i server.

    Prima di Kerberos, era possibile utilizzare l'autenticazione NTLM, che richiede la connessione di un server applicazioni a un controller di dominio per autenticare ogni computer client o servizio. Con il protocollo Kerberos, i ticket di sessione rinnovabili sostituiscono l'autenticazione pass-through. Non è necessario che il server acceda a un controller di dominio (a meno che non sia necessario convalidare un certificato PAC). Al contrario, il server può autenticare il computer client esaminando le credenziali presentate dal client. I computer client possono ottenere le credenziali per un determinato server una sola volta e quindi riutilizzare tali credenziali in una sessione di accesso alla rete.

  • Autenticazione reciproca.

    Utilizzando il protocollo Kerberos, una parte alle due estremità di una connessione di rete può verificare che la parte all'altra estremità sia l'entità che dichiara di essere. NTLM non consente ai client di verificare l'identità di un server né a un server di verificare l'identità di un altro. L'autenticazione NTLM è stata progettata per un ambiente di rete in cui si presumeva che i server fossero autentici. Il protocollo Kerberos non fa tale assunzione.

Vedere anche:

Panoramica sull'autenticazione di Windows Risorse

aggiuntive