Erinevus NTLM-i ja Kerberose vahel
Share
IIS-i integreeritud autentimismoodul rakendab kahte peamist autentimisprotokolli: NTLM ja Kerberose autentimisprotokoll. See kutsub üles kolme erinevat turvateenuse pakkujat (SSP): Kerberos, NTLM ja Negotiate. Need SSP-d ja autentimisprotokollid on tavaliselt saadaval ja neid kasutatakse Windowsi võrkudes. NTLM rakendab NTLM autentimist ja Kerberos rakendab Kerberos v5 autentimist. Läbirääkimised on erinevad, kuna see ei toeta ühtegi autentimisprotokolli. Kuna integreeritud Windowsi autentimine sisaldab mitmeid autentimisprotokolle, vajab see enne veebibrauseri ja serveri vahelise tegeliku autentimise toimumist läbirääkimisfaasi. Selle läbirääkimisfaasi ajal määrab läbirääkimiste SSP, millist autentimisprotokolli veebibrauseri ja serveri vahel kasutada.
Mõlemad protokollid on äärmiselt turvalised ja nad on võimelised kliente autentima ilma paroole võrgu kaudu mingil kujul edastama, kuid need on piiratud. NTLM-i autentimine ei tööta HTTP puhverserverite kaudu, kuna selle nõuetekohaseks toimimiseks on vaja Interneti-brauseri ja serveri vahelist punkt-punkti ühendust. Kerberose autentimine on saadaval ainult IE 5.0 brauserites ja IIS 5.0 veebiserverites või uuemates. See töötab ainult masinates, kus töötab Windows 2000 või uuem ja nõuab tulemüürides avamiseks mõnda täiendavat porti. NTLM pole nii turvaline kui Kerberos, seetõttu on alati soovitatav kasutada Kerberot nii palju kui võimalik. Vaatame neid kahte hästi.
Mis on NTLM?
NT LAN-i haldur on väljakutse-vastusel põhinev autentimisprotokoll, mida kasutavad Windowsi arvutid, mis ei ole Active Directory'i domeeni liikmed. Klient algatab autentimise väljakutse / reageerimise mehhanismi abil, mis põhineb kliendi ja serveri vahelisel kolmepoolsel käepigistusel. Klient alustab suhtlust, saates serverile sõnumi, milles täpsustatakse selle krüptimisvõimalused ja mis sisaldab kasutaja konto nime. Server genereerib 64-bitise juhusliku väärtuse, mida nimetatakse nonceks ja vastab kliendi päringule, tagastades selle nonce'i, mis sisaldab teavet tema enda võimaluste kohta. Seda vastust nimetatakse väljakutseks. Seejärel kasutab klient väljakutse stringi ja selle parooli vastuse arvutamiseks, mille ta serverile edastab. Seejärel valideerib server kliendilt saadud vastuse ja võrdleb seda NTLM-vastusega. Kui kaks väärtust on identsed, on autentimine edukas.
Mis on Kerberos?
Kerberos on piletipõhine autentimisprotokoll, mida kasutavad Windowsi arvutid, mis on Active Directory domeeni liikmed. Kerberose autentimine on parim meetod IIS-i sisemiste installide jaoks. Kerberos v5 autentimine töötati välja MIT-is ja see määratleti RFC 1510. Windows 2000 ja hiljem rakendab Kerberos Active Directory juurutamisel. Kõige parem on see, et see vähendab paroolide arvu, mida iga kasutaja peab meelde jätma, et kasutada kogu võrku üheks - Kerberose parooliks. Lisaks sisaldab see krüptimist ja sõnumite terviklikkust, tagamaks, et tundlikke autentimisandmeid ei saadeta kunagi võrgus selgelt. Kerberose süsteem töötab tsentraliseeritud võtmejaotuskeskuste (KDC) kaudu. Iga KDC sisaldab nii kasutajate kui ka Kerberose toega teenuste kasutajanimede ja paroolide andmebaasi.
Erinevus NTLMi ja Kerberose vahel
NTLM-i ja Kerberose protokoll
- NTLM on väljakutse-vastusel põhinev autentimisprotokoll, mida kasutavad Windowsi arvutid, mis ei ole Active Directory'i domeeni liikmed. Klient algatab autentimise väljakutse / reageerimise mehhanismi abil, mis põhineb kliendi ja serveri vahelisel kolmepoolsel käepigistusel. Kerberos on seevastu piletipõhine autentimisprotokoll, mis töötab ainult masinates, kus töötab Windows 2000 või uuem ja töötab Active Directory domeenis. Mõlemad autentimisprotokollid põhinevad sümmeetrilisel võtme krüptograafial.
Toetus
- Üks peamisi erinevusi kahe autentimisprotokolli vahel on see, et Kerberos toetab nii esinemist kui ka delegeerimist, samas kui NTLM toetab ainult esinemist. Delegeerimine on põhimõtteliselt sama mõiste kui kehastamine, mis hõlmab pelgalt toimingute tegemist kliendi identiteedi nimel. Esinemine toimib aga ainult ühes masinas, samal ajal kui delegeerimine töötab ka kogu võrgus. See tähendab, et algse kliendi identiteedi autentimispilet saab edastada teisele võrgus olevale serverile, kui algselt juurdepääsu saanud serveril on selleks luba.
Turvalisus
- Kuigi mõlemad autentimisprotokollid on turvalised, pole NTLM sama turvaline kui Kerberos, kuna selle nõuetekohaseks toimimiseks on vaja veebibrauseri ja serveri vahelist punkt-punkti ühendust. Kerberos on turvalisem, kuna see ei edasta kunagi paroole võrgu kaudu. See on ainulaadne piletite kasutamisel, mis tõestavad kasutaja identiteedi antud serverisse ilma võrgu kaudu paroole saatmata või kohaliku kasutaja kõvakettale paroole vahemällu salvestamata. Kerberose autentimine on parim meetod IIS-i sisemiste installide jaoks (veebisaidid, mida kasutavad ainult domeenikliendid).
Autentimine
- Kerberose üks peamisi eeliseid NTLM-i ees on see, et Kerberos pakub vastastikust autentimist ja on suunatud kliendi-serveri mudelile, mis tähendab, et kontrollitakse nii kliendi kui ka serveri autentsust. Kuid nii teenus kui ka klient peavad töötama Windows 2000 või uuemas versioonis, vastasel juhul autentimine ebaõnnestub. Erinevalt NTLM-ist, mis hõlmab ainult IIS7 serverit ja klienti, hõlmab Kerberose autentimine ka Active Directory domeenikontrollerit.
NTLM vs Kerberos: võrdlusdiagramm
NTLM-i kokkuvõte Kerberos
Ehkki mõlemad protokollid suudavad kliente autentida ilma paroole võrgus mingil kujul edastamata, autentib NTLM kliente väljakutse / reageerimise mehhanismi abil, mis põhineb kliendi ja serveri vahelisel kolmekäigulisel käepigistusel. Kerberos on seevastu piletipõhine autentimisprotokoll, mis on turvalisem kui NTLM ja toetab vastastikust autentimist, mis tähendab, et nii kliendi kui ka serveri autentsus on kontrollitud. Lisaks toetab Kerberos nii esinemist kui ka delegeerimist, samas kui NTLM toetab ainult esinemist. NTLM pole nii turvaline kui Kerberos, seetõttu on alati soovitatav kasutada Kerberot võimalikult palju.
