Rozdíl mezi NTLM a Kerberos
Share
Integrovaný ověřovací modul systému Windows II implementuje dva hlavní ověřovací protokoly: NTLM a ověřovací protokol Kerberos. Vyzývá tři různé poskytovatele bezpečnostních služeb (SSP): Kerberos, NTLM a Negotiate. Tyto SSP a autentizační protokoly jsou běžně dostupné a používané v sítích Windows. NTLM implementuje autentizaci NTLM a Kerberos implementuje autentizaci Kerberos v5. Vyjednávání je jiné, protože nepodporuje žádné ověřovací protokoly. Protože integrované ověřování systému Windows zahrnuje několik ověřovacích protokolů, je před zahájením skutečné autentizace mezi webovým prohlížečem a serverem zapotřebí fáze vyjednávání. Během této fáze vyjednávání určuje Negotiate SSP, který ověřovací protokol se použije mezi webovým prohlížečem a serverem.
Oba protokoly jsou extrémně bezpečné a jsou schopny ověřovat klienty bez přenosu hesel po síti v jakékoli formě, ale jsou omezené. Ověřování NTLM nefunguje v HTTP proxy, protože pro správné fungování vyžaduje spojení point-to-point mezi webovým prohlížečem a serverem. Ověřování Kerberos je k dispozici pouze v prohlížečích IE 5.0 a webových serverech IIS 5.0 nebo novějších. Funguje pouze na počítačích se systémem Windows 2000 nebo vyšším a vyžaduje, aby byly na firewallech otevřeny některé další porty. NTLM není tak bezpečné jako Kerberos, proto se vždy doporučuje používat co nejvíce Kerberos. Pojďme se na ty dva dobře podívat.
Co je NTLM?
NT LAN Manager je ověřovací protokol založený na výzvě a reakci používaný počítači Windows, které nejsou členy domény Active Directory. Klient zahajuje autentizaci pomocí mechanismu výzva / odpověď na základě třícestného handshake mezi klientem a serverem. Klient zahájí komunikaci zasláním zprávy na server s uvedením jeho šifrovacích schopností a obsahující název účtu uživatele. Server vygeneruje 64bitovou náhodnou hodnotu zvanou nonce a odpoví na požadavek klienta vrácením této nonce, která obsahuje informace o jejích vlastních schopnostech. Tato odpověď se nazývá výzva. Klient poté pomocí řetězce výzvy a jeho hesla vypočítá odpověď, kterou odešle na server. Server poté ověří odpověď obdrženou od klienta a porovná ji s odpovědí NTLM. Pokud jsou obě hodnoty identické, je ověření úspěšné.
Co je Kerberos?
Kerberos je ověřovací protokol založený na lístcích používaný počítači Windows, které jsou členy domény Active Directory. Ověřování Kerberos je nejlepší metodou pro interní instalace IIS. Autentizace Kerberos v5 byla navržena v MIT a definována v RFC 1510. Windows 2000 a novější implementuje Kerberos při nasazení Active Directory. Nejlepší je, že snižuje počet hesel, které si každý uživatel musí zapamatovat, aby mohl používat celou síť na jedno - heslo Kerberos. Kromě toho zahrnuje integraci šifrování a zprávy, aby bylo zajištěno, že citlivá ověřovací data nebudou nikdy vysílána přes síť v jasném stavu. Systém Kerberos pracuje prostřednictvím sady centralizovaných center distribuce klíčů (KDC). Každá KDC obsahuje databázi uživatelských jmen a hesel pro uživatele i služby podporující Kerberos.
Rozdíl mezi NTLM a Kerberos
Protokol NTLM a Kerberos
- NTLM je ověřovací protokol založený na výzvě a odpovědi používaný počítači Windows, které nejsou členy domény Active Directory. Klient zahajuje autentizaci pomocí mechanismu výzva / odpověď na základě třícestného handshake mezi klientem a serverem. Kerberos je naproti tomu autentizační protokol založený na lístcích, který funguje pouze na počítačích se systémem Windows 2000 nebo vyšším a běžících v doméně Active Directory. Oba autentizační protokoly jsou založeny na kryptografii symetrických klíčů.
Podpěra, podpora
- Jedním z hlavních rozdílů mezi dvěma ověřovacími protokoly je to, že Kerberos podporuje zosobnění i delegování, zatímco NTLM podporuje pouze zosobnění. Delegování je v podstatě stejný koncept jako zosobnění, který zahrnuje pouze provedení akcí jménem klienta. Předstírání zosobnění však funguje pouze v rámci rozsahu na jednom počítači, zatímco delegace funguje také v celé síti. To znamená, že ověřovací lístek totožnosti původního klienta může být předán na jiný server v síti, pokud má původně přístupný server k tomu oprávnění..
Bezpečnostní
- Zatímco oba ověřovací protokoly jsou zabezpečené, NTLM není tak bezpečné jako Kerberos, protože pro správné fungování vyžaduje spojení point-to-point mezi webovým prohlížečem a serverem. Kerberos je bezpečnější, protože nikdy nepřenáší hesla přes síť jasným způsobem. Unikátní je použití vstupenek, které prokazují totožnost uživatele na daném serveru bez odesílání hesel v síti nebo ukládání hesel do mezipaměti na pevném disku místního uživatele. Ověřování Kerberos je nejlepší metodou pro interní instalace služby IIS (webové stránky používané pouze klienty domény).
Ověřování
- Jednou z hlavních výhod Kerberosu oproti NTLM je to, že Kerberos nabízí vzájemnou autentizaci a zaměřuje se na model klient-server, což znamená, že autentičnost klienta i serveru je ověřena. Služba i klient však musí být spuštěna v systému Windows 2000 nebo vyšším, jinak se ověření nezdaří. Na rozdíl od NTLM, který zahrnuje pouze server IIS7 a klienta, ověřování Kerberos zahrnuje také řadič domény Active Directory.
NTLM vs. Kerberos: srovnávací tabulka
Shrnutí NTLM Vs. Kerberos
Zatímco oba protokoly jsou schopny ověřovat klienty bez přenosu hesel po síti v jakékoli formě, NTLM autentizuje klienty prostřednictvím mechanismu výzva / odpověď, který je založen na třícestném podání mezi klientem a serverem. Na druhé straně Kerberos je autentizační protokol založený na lístcích, který je bezpečnější než NTLM a podporuje vzájemnou autentizaci, což znamená, že autentičnost klienta i serveru je ověřena. Kromě toho Kerberos podporuje zosobnění i delegování, zatímco NTLM podporuje pouze zosobnění. NTLM není tak bezpečné jako Kerberos, proto se vždy doporučuje používat co nejvíce Kerberos.
