Unterschied zwischen NTLM und Kerberos
- 2742
- 653
- Fr. Fine Zschunke
Das IIS -integrierte Windows -Authentifizierungsmodul implementiert zwei Hauptauthentifizierungsprotokolle: das NTLM und das Kerberos -Authentifizierungsprotokoll. Es fordert drei verschiedene Sicherheitsdienstleister (SSPs) auf: die Kerberos, NTLM und Verhandlungen. Diese SSPs und Authentifizierungsprotokolle sind normalerweise verfügbar und werden unter Windows -Netzwerken verwendet. NTLM implementiert die NTLM -Authentifizierung und Kerberos implementiert die Kerberos V5 -Authentifizierung. Die Verhandlung ist unterschiedlich, da es keine Authentifizierungsprotokolle unterstützt. Da die integrierte Windows -Authentifizierung mehrere Authentifizierungsprotokolle umfasst, benötigt sie eine Verhandlungsphase, bevor die tatsächliche Authentifizierung zwischen Webbrowser und Server stattfinden kann. Während dieser Verhandlungsphase bestimmt der Verhandlungs -SSP, welches Authentifizierungsprotokoll zwischen dem Webbrowser und dem Server verwendet werden soll.
Beide Protokolle sind äußerst sicher und können Clients authentifizieren, ohne Passwörter über das Netzwerk in irgendeiner Form zu übertragen, aber sie sind begrenzt. Die NTLM-Authentifizierung funktioniert in HTTP-Proxies nicht, da eine Punkt-zu-Punkt-Verbindung zwischen dem Webbrowser und dem Server erforderlich ist, um ordnungsgemäß zu funktionieren. Die Authentifizierung von Kerberos ist nur auf IE 5 erhältlich.0 Browser und IIS 5.0 Webserver oder später. Es funktioniert nur auf Maschinen, die Windows 2000 oder höher ausführen, und müssen einige zusätzliche Ports für Firewalls geöffnet werden. NTLM ist nicht so sicher wie Kerberos, daher wird immer empfohlen, Kerberos so weit wie möglich zu verwenden. Schauen wir uns die beiden genau an.
Was ist NTLM?
NT LAN-Manager ist ein Challenge-Response-Basis-Authentifizierungsprotokoll, das von Windows-Computern verwendet wird, die keine Mitglieder einer Active Directory-Domäne sind. Der Client initiiert die Authentifizierung durch einen Herausforderungs-/Antwortmechanismus, der auf einem Drei-Wege-Handschlag zwischen Client und Server basiert. Der Client startet die Kommunikation, indem er eine Nachricht an den Server sendet. Der Server generiert einen 64-Bit-Zufallswert, der als Nonce bezeichnet wird. Diese Antwort wird als Herausforderung bezeichnet. Der Client verwendet dann die Challenge -Zeichenfolge und sein Passwort, um eine Antwort zu berechnen, die er auf den Server überträgt. Der Server validiert dann die vom Client empfangene Antwort und vergleicht sie mit der NTLM -Antwort. Wenn die beiden Werte identisch sind, ist die Authentifizierung erfolgreich.
Was ist Kerberos?
Kerberos ist ein ticketbasiertes Authentifizierungsprotokoll, das von Windows-Computern verwendet wird, die Mitglieder einer Active Directory-Domäne sind. Die Authentifizierung von Kerberos ist die beste Methode für interne IIS -Installationen. Die Authentifizierung von Kerberos V5 wurde am MIT entwickelt und in RFC 1510 definiert. Windows 2000 und später implementiert Kerberos, wenn Active Directory bereitgestellt wird. Das Beste daran, es reduziert die Anzahl der Passwörter, die jeder Benutzer für ein ganzes Netzwerk auf ein Netz auswendig machen muss - das Kerberos -Passwort. Darüber hinaus umfasst es Verschlüsselungs- und Nachrichtenintegrität, um sicherzustellen. Das Kerberos -System arbeitet über eine Reihe von zentralisierten Schlüsselverteilungszentren oder KDCs. Jeder KDC enthält eine Datenbank mit Benutzernamen und Kennwörtern für Benutzer und Kerberos-fähige Dienste.
Unterschied zwischen NTLM und Kerberos
Protokoll von NTLM und Kerberos
- NTLM ist ein Challenge-Response-Basis-Authentifizierungsprotokoll, das von Windows-Computern verwendet wird, die keine Mitglieder einer Active Directory-Domäne sind. Der Client initiiert die Authentifizierung durch einen Herausforderungs-/Antwortmechanismus, der auf einem Drei-Wege-Handschlag zwischen Client und Server basiert. Kerberos hingegen ist ein Ticket-basierter Authentifizierungsprotokoll, das nur auf Maschinen funktioniert, die Windows 2000 oder höher ausführen und in einer Active Directory-Domäne ausgeführt werden. Beide Authentifizierungsprotokolle basieren auf der symmetrischen Schlüsselkryptographie.
Unterstützung
- Einer der Hauptunterschiede zwischen den beiden Authentifizierungsprotokollen besteht darin, dass Kerberos sowohl Identität als auch Delegation unterstützt, während NTLM nur die Identitätswechsel unterstützt. Die Delegation ist im Grunde das gleiche Konzept wie Identität. Die Identitätswechsel arbeiten jedoch nur im Bereich eines Maschine, während die Delegation auch im Netzwerk funktioniert. Dies bedeutet.
Sicherheit
- Während beide Authentifizierungsprotokolle sicher sind, ist NTLM nicht so sicher wie Kerberos, da es eine Punkt-zu-Punkt-Verbindung zwischen dem Webbrowser und dem Server erfordert, um ordnungsgemäß zu funktionieren. Kerberos ist sicherer, da es im Clear nie Passwörter über das Netzwerk übertragen. Es ist eindeutig in der Verwendung von Tickets, die die Identität eines Benutzers an einem bestimmten Server beweisen, ohne Kennwörter über das Netzwerk zu senden oder Passwörter auf der Festplatte des lokalen Benutzers zu zwischenstrichen. Die Kerberos -Authentifizierung ist die beste Methode für interne IIS -Installationen (Websites, die nur von Domain -Clients verwendet werden).
Authentifizierung
- Einer der Hauptvorteile von Kerberos gegenüber NTLM besteht darin, dass Kerberos gegenseitige Authentifizierung bietet und auf ein Client-Server-Modell abzielt, was bedeutet. Sowohl der Service als auch der Kunde müssen jedoch unter Windows 2000 oder höher ausgeführt werden, da die Authentifizierung ansonsten fehlschlägt. Im Gegensatz zu NTLM, an dem nur der IIS7 -Server und der Client beteiligt sind.
Ntlm vs. Kerberos: Vergleichstabelle
Zusammenfassung von NTLM vs. Kerberos
Während beide Protokolle in der Lage sind, Clients zu authentifizieren, ohne Kennwörter über das Netzwerk in irgendeiner Form zu übertragen. Kerberos hingegen ist ein ticketbasiertes Authentifizierungsprotokoll, das sicherer als NTLM ist und die gegenseitige Authentifizierung unterstützt, was bedeutet. Darüber hinaus unterstützt Kerberos sowohl Identität als auch Delegation, während NTLM nur die Identitätswechsel unterstützt. NTLM ist nicht so sicher wie Kerberos, daher wird immer empfohlen, Kerberos so weit wie möglich zu verwenden.