W systemach Windows 2000 i Windows XP Professional poświadczenia użytkownika mogą być dostarczane za pomocą hasła, dowodu protokołu Kerberos, lub za pośrednictwem karty chipowej, jeśli komputer obsługuje takie karty.
Protokół Kerberos V5 zapewnia możliwość wzajemnego uwierzytelniania między klientem, takim jak użytkownik, komputer lub usługa, a serwerem. Jest to bardziej skuteczniejszy sposób uwierzytelniania klientów przez serwery, nawet w najbardziej rozbudowanych i złożonych środowiskach sieciowych.
Założenia protokołu Kerberos
Protokół Kerberos jest oparty na podstawowym założeniu, że pierwsze transakcje
między klientami a serwerami mają miejsce w sieci otwartej. Jest to
środowisko, w którym nieupoważniony użytkownik może przyjąć rolę klienta lub
serwera i przechwycić lub zakłócać dane przepływające między autoryzowanymi
klientami i serwerami. Uwierzytelnianie przy użyciu protokołu Kerberos V5
zapewnia również bezpieczne i skuteczne uwierzytelnianie w złożonych sieciach
klientów i zasobów.
Protokół Kerberos wersja 5 wykorzystuje szyfrowanie tajnego klucza w celu zabezpieczenia poświadczeń logowania przekazywanych w sieci. Ten sam klucz może być następnie wykorzystany do odszyfrowania tych poświadczeń po stronie odbierającej. Odszyfrowywanie i kolejne działania są przeprowadzanie przez centrum Kerberos Key Distribution Center, które działa w każdym kontrolerze domeny w ramach usługi Active Directory.
Uwierzytelnienie
Uwierzytelnienie — niewielki element informacji, na przykład sygnatura
czasowe, który zmienia się każdorazowo podczas generowania — jest dodawany do
zaszyfrowanych poświadczeń logowania w celu weryfikacji, czy poprzednie
poświadczenia uwierzytelniania nie są używane ponownie. Nowe uwierzytelnienie
jest generowane i dołączane do zaszyfrowanej odpowiedzi centrum KDC
skierowanej do klienta w celu potwierdzenia przyjęcia i akceptacji wiadomości
oryginalnej. Jeśli początkowe poświadczenia logowania oraz uwierzytelnienie
zostaną zaakceptowane, centrum KDC wydaje dowód potwierdzenia (Ticket-granting
Ticket, TGT), który jest wykorzystywany przez ustawienia LSA do pobierania
dowodów usług. Dowody usług mogą być następnie wykorzystywane w celu uzyskania
dostępu do zasobów sieci bez konieczności ponownego uwierzytelniania klienta
przez cały okres ważności dowodu. Dowody te zawierają zaszyfrowane dane
potwierdzające tożsamość użytkownika wobec żądanej usługi. Poza podaniem
początkowego hasła lub poświadczeń karty chipowej proces uwierzytelniania
przebiega bez udziału użytkownika.
Właściwości
reguł uwierzytelniania pokazano na rysunku.
Usługa centrum Kerberos Key Distribution Center
Usługa ta działa w połączeniu z protokołem uwierzytelniania Kerberos i służy
do uwierzytelniania żądań logowania do usługi Active Directory.
Mimo iż protokół uwierzytelniania Kerberos wersja 5 jest domyślnym protokołem systemu Windows 2000 Server i Windows XP Professional, uwierzytelnianie za pośrednictwem tego protokołu wymaga obecności systemu Windows 2000 lub Windows XP Professional zarówno w kontrolerach domen sieciowych, jak i na komputerach klienckich. Jeśli warunki te nie są spełnione, uwierzytelnianie jest realizowane przy użyciu alternatywnego protokołu NTLM.
-min5dcb124.png)