Különbség az NTLM és a Kerberos között
Share
Az IIS integrált Windows hitelesítési modul két fő hitelesítési protokollt valósít meg: az NTLM és a Kerberos hitelesítési protokollt. Három különféle biztonsági szolgáltatót (SSP) hív fel: a Kerberos, az NTLM és a Negotiate. Ezek az SSP-k és a hitelesítési protokollok általában Windows hálózatokon érhetők el és használhatók. Az NTLM az NTLM hitelesítést, a Kerberos pedig a Kerberos v5 hitelesítést valósítja meg. A tárgyalás eltér, mivel nem támogat semmilyen hitelesítési protokollt. Mivel az integrált Windows-hitelesítés több hitelesítési protokollt tartalmaz, tárgyalási szakaszra van szüksége, mielőtt a webböngésző és a szerver között tényleges hitelesítés megtörténhet. Ebben a tárgyalási szakaszban a Negotiate SSP meghatározza, hogy mely hitelesítési protokollt kell használni a webböngésző és a szerver között.
Mindkét protokoll rendkívül biztonságos, és képesek az ügyfelek hitelesítésére anélkül, hogy jelszavakat bármilyen formában továbbítanák a hálózaton, de ezek korlátozottak. Az NTLM hitelesítés nem működik a HTTP proxyk között, mivel a megfelelő működéshez point-to-point kapcsolat szükséges a webböngésző és a szerver között. A Kerberos hitelesítés csak az IE 5.0 böngészőben és az IIS 5.0 webkiszolgálón vagy újabb verziókban érhető el. Csak a Windows 2000 vagy újabb rendszert futtató gépeken működik, és további kiegészítő portok megnyitására van szüksége a tűzfalakon. Az NTLM nem olyan biztonságos, mint a Kerberos, ezért mindig ajánlott a Kerberos használata. Vessen egy pillantást a kettőre.
Mi az NTLM??
Az NT LAN Manager egy kihívás-válasz alapú hitelesítési protokoll, amelyet olyan Windows számítógépek használnak, amelyek nem tagjai az Active Directory tartománynak. Az ügyfél a hitelesítést kihívás / válasz mechanizmus útján kezdeményezi, az ügyfél és a szerver közötti háromutas kézfogás alapján. Az ügyfél úgy indítja el a kommunikációt, hogy egy üzenetet küld a kiszolgálónak, amely megadja a titkosítási képességeit és tartalmazza a felhasználó fióknevét. A szerver 64 bites véletlenszerű értéket generál, amelyet nonce-nek hívnak, és válaszol az ügyfél kérésére, visszaadva ezt a nonce-t, amely a saját képességeiről tartalmaz információkat. Ezt a választ kihívásnak hívják. Az ügyfél ezután a kihívás karakterláncát és jelszavát használva kiszámítja a válaszot, amelyet továbbít a kiszolgálóra. Ezután a szerver ellenőrzi az ügyféltől kapott választ, és összehasonlítja azt az NTLM-válaszmal. Ha a két érték azonos, akkor a hitelesítés sikeres.
Mi az a Kerberos??
A Kerberos jegy-alapú hitelesítési protokoll, amelyet az Active Directory tartományba tartozó Windows számítógépek használnak. A Kerberos hitelesítés a legjobb módszer a belső IIS telepítésekhez. A Kerberos v5 hitelesítést az MIT-n fejlesztették ki és az RFC 1510-ben definiálták. A Windows 2000 és később a Kerberos telepítése az Active Directory telepítésekor. A legjobb az, hogy csökkenti a jelszavak számát, amelyet minden felhasználónak meg kell memorizálnia ahhoz, hogy egy teljes hálózatot egyre - a Kerberos jelszóra - használja. Ezenkívül magában foglalja a titkosítást és az üzenet integritását, hogy az érzékeny hitelesítési adatokat soha ne továbbítsák tiszta hálózaton keresztül. A Kerberos rendszer egy központi központi disztribúciós központon vagy KDC-n keresztül működik. Minden KDC tartalmaz felhasználói nevek és jelszavak adatbázisát mind a felhasználók, mind a Kerberos-kompatibilis szolgáltatások számára.
Különbség az NTLM és a Kerberos között
NTLM és Kerberos protokoll
- Az NTLM egy kihívás-válasz alapú hitelesítési protokoll, amelyet olyan Windows számítógépek használnak, amelyek nem tagjai az Active Directory tartománynak. Az ügyfél a hitelesítést kihívás / válasz mechanizmus útján kezdeményezi, az ügyfél és a szerver közötti háromutas kézfogás alapján. A Kerberos viszont jegyjegy-alapú hitelesítési protokoll, amely csak a Windows 2000 vagy újabb rendszert futtató és Active Directory tartományban futó gépeken működik. Mindkét hitelesítési protokoll szimmetrikus kulcs-kriptográfián alapul.
Támogatás
- Az egyik legnagyobb különbség a két hitelesítési protokoll között az, hogy a Kerberos támogatja a megszemélyesítést és a delegálást, míg az NTLM csak a megszemélyesítést támogatja. A delegálás alapvetően ugyanaz a fogalom, mint a megszemélyesítés, amely magában foglalja csupán az ügyfél személyazonosságának érdekében végzett műveleteket. A megszemélyesítés azonban csak egy gépen működik, míg a delegálás a hálózaton keresztül is működik. Ez azt jelenti, hogy az eredeti kliens személyazonossági hitelesítési jegye továbbadható a hálózat másik szerverére, ha az eredetileg hozzáféréssel rendelkező kiszolgálónak van erre felhatalmazása..
Biztonság
- Bár mindkét hitelesítési protokoll biztonságos, az NTLM nem olyan biztonságos, mint a Kerberos, mert a megfelelő működéshez point-to-point kapcsolat szükséges a webböngésző és a szerver között. A Kerberos biztonságosabb, mert soha nem továbbítja a jelszavakat a hálózaton keresztül egyértelműen. Egyedülálló azon jegyek felhasználásával, amelyek igazolják a felhasználó személyazonosságát egy adott szerverhez anélkül, hogy jelszavakat küldnének a hálózaton keresztül, vagy gyorsítótáraznák a helyi felhasználó merevlemezén. A Kerberos hitelesítés a legjobb módszer a belső IIS telepítéshez (csak a domain kliensek által használt webhelyek).
Hitelesítés
- A Kerberos egyik legfontosabb előnye az NTLM-hez képest, hogy a Kerberos kölcsönös hitelesítést kínál, és egy ügyfél-szerver modellre irányul, amely azt jelenti, hogy az ügyfél és a szerver hitelessége is igazolva van. Ugyanakkor mind a szolgáltatásnak, mind az ügyfélnek Windows 2000 vagy újabb rendszeren kell futnia, különben a hitelesítés meghiúsul. Az NTLM-mel ellentétben, amely csak az IIS7 szervert és az ügyfelet foglalja magában, a Kerberos hitelesítés az Active Directory tartományvezérlőt is magában foglalja..
NTLM és Kerberos: összehasonlító táblázat
Az NTLM Vs. összefoglalása Kerberos
Míg mindkét protokoll képes az ügyfelek hitelesítésére anélkül, hogy jelszavakat bármilyen formában továbbítana a hálózaton keresztül, az NTLM hitelesíti az ügyfeleket olyan kihívás / válasz mechanizmus révén, amely az ügyfél és a szerver közötti háromutas kézfogáson alapul. A Kerberos viszont egy jegy-alapú hitelesítési protokoll, amely biztonságosabb, mint az NTLM, és támogatja a kölcsönös hitelesítést, ami azt jelenti, hogy mind az ügyfél, mind a szerver hitelessége hitelesítve van. Ezenkívül a Kerberos támogatja a megszemélyesítést és a delegálást, míg az NTLM csak a megszemélyesítést támogatja. Az NTLM nem olyan biztonságos, mint a Kerberos, ezért mindig ajánlott a Kerberos használata.
