Ero NTLM n ja Kerberosin välillä
Share
IIS-integroitu Windows-todennusmoduuli toteuttaa kaksi suurta todennusprotokollaa: NTLM ja Kerberos-todennusprotokolla. Se vaatii kolmea erilaista tietoturvapalvelun tarjoajaa: Kerberos, NTLM ja Negotiate. Nämä SSP: t ja todennusprotokollat ovat yleensä saatavana ja niitä käytetään Windows-verkoissa. NTLM toteuttaa NTLM-todennuksen ja Kerberos toteuttaa Kerberos v5 -todennuksen. Neuvottelu on erilainen, koska se ei tue mitään todennusprotokollia. Koska integroitu Windows-todennus sisältää useita todennusprotokollia, se tarvitsee neuvotteluvaiheen ennen varsinaista todennusta Web-selaimen ja palvelimen välillä. Tämän neuvotteluvaiheen aikana Negotiate SSP määrittelee, mitä todennusprotokollaa käytetään Web-selaimen ja palvelimen välillä.
Molemmat protokollat ovat erittäin turvallisia ja ne kykenevät autentikoimaan asiakkaita lähettämättä salasanoja verkon kautta missään muodossa, mutta niitä on rajoitetusti. NTLM-todennus ei toimi HTTP-välityspalvelimissa, koska se vaatii point-to-point-yhteyden selaimen ja palvelimen välillä, jotta se toimii oikein. Kerberos-todennus on käytettävissä vain IE 5.0 -selaimissa ja IIS 5.0 -verkkopalvelimissa tai uudemmissa. Se toimii vain koneissa, joissa on Windows 2000 tai uudempi, ja vaatii joidenkin lisäporttien olevan auki palomuureissa. NTLM ei ole yhtä turvallinen kuin Kerberos, joten on aina suositeltavaa käyttää Kerberosta mahdollisimman paljon. Katsotaanpa hyvältä kahta.
Mikä on NTLM?
NT LAN Manager on haaste-vastauspohjainen todennusprotokolla, jota käyttävät Windows-tietokoneet, jotka eivät ole Active Directory -verkkotunnuksen jäseniä. Asiakas aloittaa todennuksen haaste- / vastausmekanismin avulla asiakkaan ja palvelimen välisessä kolmisuuntaisessa kättelyssä. Asiakas aloittaa tiedonsiirron lähettämällä palvelimelle viestin, jossa määritetään sen salausominaisuudet ja joka sisältää käyttäjän tilin nimen. Palvelin generoi 64-bittisen satunnaisen arvon, jota kutsutaan nonceksi, ja vastaa asiakkaan pyyntöön palauttamalla tämä nonce, joka sisältää tietoja sen omista ominaisuuksista. Tätä vastausta kutsutaan haasteeksi. Sitten asiakas laskee vastauksen, jonka se lähettää palvelimelle, haastemerkkijonolla ja salasanalla. Tämän jälkeen palvelin vahvistaa asiakkaalta saamansa vastauksen ja vertaa sitä NTLM-vastaukseen. Jos nämä kaksi arvoa ovat identtisiä, todennus onnistuu.
Mikä on Kerberos?
Kerberos on lippupohjainen todennusprotokolla, jota käyttävät Windows-tietokoneet, jotka ovat Active Directory -verkkotunnuksen jäseniä. Kerberos-todennus on paras tapa sisäisiin IIS-asennuksiin. Kerberos v5 -todennus on suunniteltu MIT: ssä ja määritelty RFC 1510. Windows 2000 ja myöhemmin toteuttaa Kerberos kun Active Directory otetaan käyttöön. Parasta on se, että se vähentää niiden salasanojen määrää, jotka jokaisen käyttäjän on muistettava, jotta koko verkkoa voidaan käyttää yhdeksi - Kerberos-salasanaksi. Lisäksi se sisältää salauksen ja viestin eheyden varmistaa, että arkaluontoisia todennustietoja ei koskaan lähetetä verkon välityksellä selkeästi. Kerberos-järjestelmä toimii keskitetyn avainjakelukeskuksen tai KDC: n kautta. Jokainen KDC sisältää tietokannan sekä käyttäjän että Kerberos-yhteensopivien palveluiden käyttäjänimistä ja salasanoista.
Ero NTLM: n ja Kerberosin välillä
NTLM: n ja Kerberosin protokolla
- NTLM on haaste-vastaus -pohjainen todennusprotokolla, jota käyttävät Windows-tietokoneet, jotka eivät ole Active Directory -verkkotunnuksen jäseniä. Asiakas aloittaa todennuksen haaste- / vastausmekanismin avulla asiakkaan ja palvelimen välisessä kolmisuuntaisessa kättelyssä. Kerberos puolestaan on lippuperusteinen todennusprotokolla, joka toimii vain koneissa, joissa on Windows 2000 tai uudempi ja jotka toimivat Active Directory -alueella. Molemmat todennusprotokollat perustuvat symmetriseen avaimen kryptografiaan.
Tuki
- Yksi suurimmista eroista kahden todennusprotokollan välillä on se, että Kerberos tukee sekä manitointia että delegointia, kun taas NTLM tukee vain manitointia. Delegointi on periaatteessa sama käsite kuin esiintyminen, johon sisältyy vain toimien suorittaminen asiakkaan henkilöllisyyden puolesta. Persoonallisuus toimii kuitenkin vain yhden koneen rajoissa, samalla kun delegointi toimii myös koko verkon alueella. Tämä tarkoittaa, että alkuperäisen asiakkaan henkilöllisyyden todennuslippu voidaan siirtää toiseen verkon palvelimeen, jos alun perin palvelimella on lupa siihen.
turvallisuus
- Vaikka molemmat todennusprotokollat ovat turvallisia, NTLM ei ole yhtä turvallinen kuin Kerberos, koska se vaatii point-to-point-yhteyden selaimen ja palvelimen välillä toimiakseen kunnolla. Kerberos on turvallisempi, koska se ei koskaan siirrä salasanoja verkon välityksellä selkeästi. Se on ainutlaatuinen lippujen avulla, jotka todistavat käyttäjän henkilöllisyyden tietylle palvelimelle lähettämättä salasanoja verkon kautta tai välimuistiin salasanoja paikallisen käyttäjän kiintolevylle. Kerberos-todennus on paras tapa sisäisiin IIS-asennuksiin (vain verkkotunnusasiakkaiden käyttämät verkkosivustot).
Authentication
- Yksi Kerberosin suurimmista eduista NTLM: ään verrattuna on, että Kerberos tarjoaa keskinäisen todennuksen ja on suunnattu asiakas-palvelin -malliin, mikä tarkoittaa sekä asiakkaan että palvelimen aitoutta. Sekä palvelun että asiakkaan on kuitenkin oltava käynnissä Windows 2000 tai uudempi, muuten todennus epäonnistuu. Toisin kuin NTLM, johon sisältyy vain IIS7-palvelin ja asiakas, Kerberos-todennukseen sisältyy myös Active Directory -toimialueohjain.
NTLM vs. Kerberos: vertailukaavio
Yhteenveto NTLM Vs. Kerberos
Vaikka molemmat protokollat kykenevät autentikoimaan asiakkaita lähettämättä salasanoja verkon välityksellä missään muodossa, NTLM todentaa asiakkaat haaste- / vastausmekanismin avulla, joka perustuu asiakkaan ja palvelimen väliseen kolmisuuntaiseen kättelyyn. Kerberos puolestaan on lippuperusteinen todennusprotokolla, joka on turvallisempi kuin NTLM ja tukee keskinäistä todennusta, mikä tarkoittaa, että sekä asiakkaan että palvelimen aitous varmennetaan. Lisäksi Kerberos tukee sekä esiintymistä että delegointia, kun taas NTLM tukee vain esiintymistä. NTLM ei ole yhtä turvallinen kuin Kerberos, joten on aina suositeltavaa käyttää Kerberosta mahdollisimman paljon.
