Rozdiel medzi NTLM a Kerberos
Share
IIS integrovaný autentifikačný modul Windows implementuje dva hlavné autentifikačné protokoly: NTLM a Kerberos autentifikačný protokol. Vyzýva troch rôznych poskytovateľov bezpečnostných služieb (SSP): Kerberos, NTLM a Negotiate. Tieto SSP a autentifikačné protokoly sú bežne dostupné a používajú sa v sieťach Windows. NTLM implementuje autentifikáciu NTLM a Kerberos implementuje autentifikáciu Kerberos v5. Vyjednávanie je iné, pretože nepodporuje žiadne autentifikačné protokoly. Pretože integrovaná autentifikácia Windows obsahuje niekoľko autentifikačných protokolov, pred uskutočnením skutočnej autentifikácie medzi webovým prehľadávačom a serverom je potrebná fáza vyjednávania. Počas tejto fázy vyjednávania Negotiate SSP určuje, ktorý autentifikačný protokol sa použije medzi webovým prehliadačom a serverom.
Oba protokoly sú mimoriadne bezpečné a dokážu autentifikovať klientov bez toho, aby prenášali heslá v sieti v akejkoľvek podobe, ale sú obmedzené. Autentifikácia NTLM nepracuje cez HTTP proxy, pretože na správne fungovanie vyžaduje spojenie point-to-point medzi webovým prehliadačom a serverom. Autentifikácia Kerberos je k dispozícii iba v prehliadačoch IE 5.0 a webových serveroch IIS 5.0 alebo novších. Funguje iba na počítačoch so systémom Windows 2000 alebo vyšším a vyžaduje, aby boli na bráne firewall otvorené niektoré ďalšie porty. NTLM nie je tak bezpečný ako Kerberos, preto sa vždy odporúča používať čo najviac Kerberos. Pozrime sa na tieto dve veci.
Čo je NTLM?
NT LAN Manager je autentifikačný protokol založený na výzve a odpovedi používaný počítačmi Windows, ktoré nie sú členmi domény Active Directory. Klient iniciuje autentifikáciu prostredníctvom mechanizmu výzva / reakcia na základe trojsmerného podania medzi klientom a serverom. Klient začne komunikáciu zaslaním správy na server, v ktorej uvedie svoje šifrovacie schopnosti a bude obsahovať meno účtu používateľa. Server vygeneruje 64-bitovú náhodnú hodnotu s názvom nonce a odpovie na požiadavku klienta vrátením tejto nonce, ktorá obsahuje informácie o jej vlastných možnostiach. Táto reakcia sa nazýva výzva. Klient potom použije reťazec výzvy a jeho heslo na výpočet odpovede, ktorú odošle na server. Server potom overí odpoveď prijatú od klienta a porovná ju s odpoveďou NTLM. Ak sú tieto dve hodnoty rovnaké, autentifikácia je úspešná.
Čo je Kerberos?
Kerberos je autentifikačný protokol založený na lístkoch používaný počítačmi Windows, ktoré sú členmi domény Active Directory. Autentifikácia Kerberos je najlepšou metódou pre interné inštalácie IIS. Autentifikácia Kerberos v5 bola navrhnutá v MIT a definovaná v RFC 1510. Windows 2000 a novšie implementuje Kerberos, keď je nasadená služba Active Directory. Najlepšie je, že znižuje počet hesiel, ktoré si musí každý užívateľ zapamätať, aby mohol používať celú sieť na jedno - heslo Kerberos. Okrem toho obsahuje šifrovanie a integritu správ, aby sa zabezpečilo, že citlivé autentifikačné údaje sa nikdy neposielajú cez sieť v čistom stave. Systém Kerberos funguje prostredníctvom sady centralizovaných distribučných centier kľúčov alebo KDC. Každá KDC obsahuje databázu užívateľských mien a hesiel pre používateľov aj pre služby podporované Kerberos.
Rozdiel medzi NTLM a Kerberos
Protokol NTLM a Kerberos
- NTLM je overovací protokol založený na výzve a odpovedi, ktorý sa používa v počítačoch so systémom Windows, ktoré nie sú členmi domény Active Directory. Klient iniciuje autentifikáciu prostredníctvom mechanizmu výzva / reakcia na základe trojsmerného podania medzi klientom a serverom. Na druhej strane Kerberos je autentifikačný protokol založený na lístkoch, ktorý funguje iba na počítačoch so systémom Windows 2000 alebo vyšším a pracujúcim v doméne Active Directory. Oba autentifikačné protokoly sú založené na kryptografii symetrických kľúčov.
podpora
- Jedným z hlavných rozdielov medzi dvoma autentifikačnými protokolmi je to, že Kerberos podporuje predstieranie identity aj delegovanie, zatiaľ čo NTLM podporuje iba vydávanie sa za identity. Delegácia je v podstate rovnaká koncepcia ako zosobnenie, ktoré zahŕňa iba vykonávanie akcií v mene totožnosti klienta. Odcudzenie identity však funguje iba v rámci rozsahu na jednom počítači, zatiaľ čo delegovanie funguje aj v celej sieti. To znamená, že autentifikačný lístok totožnosti pôvodného klienta sa môže preniesť na iný server v sieti, ak má pôvodne prístupný server na to oprávnenie..
zabezpečenia
- Aj keď sú oba autentifikačné protokoly bezpečné, NTLM nie je také bezpečné ako Kerberos, pretože na správne fungovanie vyžaduje spojenie point-to-point medzi webovým prehliadačom a serverom. Kerberos je bezpečnejšie, pretože nikdy neprenáša heslá cez sieť v jasnej podobe. Je jedinečný pri používaní vstupeniek, ktoré preukazujú totožnosť používateľa na danom serveri bez toho, aby sa zasielali heslá v sieti alebo heslá uložené v pamäti cache na pevnom disku lokálneho používateľa. Autentifikácia Kerberos je najlepšou metódou pre interné inštalácie IIS (webové stránky používané iba klientmi domény).
Overenie
- Jednou z hlavných výhod Kerberosu oproti NTLM je, že Kerberos ponúka vzájomnú autentifikáciu a zameriava sa na model klient-server, čo znamená, že autentifikácia klienta aj servera je overená. Služba aj klient však musia byť spustené v systéme Windows 2000 alebo vyššom, inak dôjde k zlyhaniu autentifikácie. Na rozdiel od NTLM, ktorý zahŕňa iba server IIS7 a klienta, autentifikácia Kerberos zahŕňa aj radič domény Active Directory..
NTLM vs. Kerberos: porovnávacia tabuľka
Zhrnutie NTLM Vs. Kerberos
Zatiaľ čo oba protokoly sú schopné autentifikovať klientov bez toho, aby prenášali heslá v sieti v akejkoľvek podobe, NTLM autentizuje klientov prostredníctvom mechanizmu výzva / reakcia, ktorý je založený na trojstrannom podávaní medzi klientom a serverom. Na druhej strane Kerberos je autentifikačný protokol založený na lístkoch, ktorý je bezpečnejší ako NTLM a podporuje vzájomné overovanie, čo znamená, že sa overuje autenticita klienta aj servera. Kerberos okrem toho podporuje odcudzenie identity aj delegovanie, zatiaľ čo NTLM podporuje iba odcudzenie identity. NTLM nie je tak bezpečný ako Kerberos, preto sa vždy odporúča používať čo najviac Kerberos.
