Skirtumas tarp NTLM ir Kerberos
Share
IIS integruotas „Windows“ autentifikavimo modulis įgyvendina du pagrindinius autentifikavimo protokolus: NTLM ir „Kerberos“ autentifikavimo protokolą. Jis kviečia tris skirtingus saugos paslaugų teikėjus (SSP): „Kerberos“, NTLM ir „Derėtis“. Šie SSP ir autentifikavimo protokolai paprastai yra prieinami ir naudojami „Windows“ tinkluose. NTLM įgyvendina NTLM autentifikavimą, o „Kerberos“ įgyvendina „Kerberos v5“ autentifikavimą. Derėtis yra kitaip, nes jis nepalaiko jokių autentifikavimo protokolų. Kadangi integruota „Windows“ autentifikacija apima kelis autentifikavimo protokolus, prieš pradedant tikrąją autentifikaciją tarp žiniatinklio naršyklės ir serverio, reikia derybų etapo. Šiame derybų etape Derybų SSP nustato, kokį autentifikavimo protokolą naudoti tarp interneto naršyklės ir serverio.
Abu protokolai yra ypač saugūs ir jie gali autentifikuoti klientus, neperduodant slaptažodžių tinklu jokia forma, tačiau jie yra riboti. NTLM autentifikacija neveikia per HTTP tarpinius serverius, nes norint tinkamai veikti, reikia interneto ryšio tarp serverio ir taško. „Kerberos“ autentifikavimas galimas tik IE 5.0 naršyklėse ir IIS 5.0 ar naujesniuose serveriuose. Jis veikia tik mašinose, kuriose veikia „Windows 2000“ ar naujesnė versija, ir reikalauja, kad ugniasienėse būtų atidaryti keli papildomi prievadai. NTLM nėra toks saugus kaip „Kerberos“, todėl visada rekomenduojama kuo daugiau naudoti „Kerberos“. Pažvelkime gerai į du.
Kas yra NTLM?
NT LAN tvarkyklė yra iššūkių ir atsakymų autentifikavimo protokolas, naudojamas „Windows“ kompiuteriuose, kurie nėra „Active Directory“ domeno nariai. Klientas inicijuoja autentifikavimą naudodamas iššūkio / atsakymo mechanizmą, pagrįstą trijų krypčių rankos paspaudimu tarp kliento ir serverio. Klientas pradeda ryšį siųsdamas pranešimą į serverį, kuriame nurodomos jo šifravimo galimybės ir nurodomas vartotojo abonemento vardas. Serveris sugeneruoja 64 bitų atsitiktinę reikšmę, vadinamą nonce, ir reaguoja į kliento prašymą, grąžindamas šį nonce, kuriame yra informacijos apie jo paties galimybes. Šis atsakymas vadinamas iššūkiu. Tada klientas naudoja iššūkio eilutę ir jos slaptažodį, kad apskaičiuotų atsakymą, kurį jis perduoda serveriui. Tada serveris patikrina iš kliento gautą atsakymą ir palygina jį su NTLM atsakymu. Jei abi reikšmės yra tapačios, autentifikacija sėkmingai vykdoma.
Kas yra Kerberosas?
„Kerberos“ yra bilietais pagrįstas autentifikavimo protokolas, naudojamas „Windows“ kompiuteriuose, kurie yra „Active Directory“ domeno nariai. „Kerberos“ autentifikavimas yra geriausias vidinių IIS diegimų metodas. „Kerberos v5“ autentifikacija buvo suprojektuota MIT ir apibrėžta RFC 1510. „Windows 2000“ ir vėliau įdiegia „Kerberos“, kai diegiama „Active Directory“. Geriausia, nes tai sumažina kiekvieno vartotojo įsimenamų slaptažodžių skaičių, kad būtų naudojamas visas tinklas - „Kerberos“ slaptažodį. Be to, jis apima šifravimą ir pranešimų vientisumą, kad užtikrintų, jog slapti autentifikavimo duomenys niekada nebus siunčiami per tinklą. „Kerberos“ sistema veikia per centralizuotų raktų paskirstymo centrų (KDC) rinkinį. Kiekviename KDC yra vartotojo vardų ir slaptažodžių duomenų bazė tiek vartotojams, tiek „Kerberos“ palaikomoms paslaugoms.
Skirtumas tarp NTLM ir Kerberos
NTLM ir Kerberos protokolas
- NTLM yra iššūkių ir atsakymų autentifikavimo protokolas, naudojamas „Windows“ kompiuteriuose, kurie nėra „Active Directory“ domeno nariai. Klientas inicijuoja autentifikavimą naudodamas iššūkio / atsakymo mechanizmą, pagrįstą trijų krypčių rankos paspaudimu tarp kliento ir serverio. Kita vertus, „Kerberos“ yra bilietais pagrįstas autentifikavimo protokolas, kuris veikia tik kompiuteriuose, kuriuose veikia „Windows 2000“ ar naujesnė versija ir veikia „Active Directory“ domene. Abu autentifikavimo protokolai yra pagrįsti simetrine rakto kriptografija.
Palaikymas
- Vienas pagrindinių skirtumų tarp dviejų autentifikavimo protokolų yra tas, kad „Kerberos“ palaiko apsimetinėjimą ir delegavimą, o NTLM palaiko tik apsimetinėjimą. Delegavimas iš esmės yra ta pati sąvoka kaip apsimetinėjimas, apimantis tik veiksmus kliento tapatybės vardu. Apsimetinėjimas veikia tik viename įrenginyje, o delegacija veikia ir tinkle. Tai reiškia, kad pirminio kliento tapatybės patvirtinimo bilietą galima perduoti kitam tinklo serveriui, jei iš pradžių prieinamas serveris turi leidimą tai padaryti.
Saugumas
- Nors abu autentifikavimo protokolai yra saugūs, NTLM nėra toks saugus kaip „Kerberos“, nes tam, kad tinkamai veiktų, reikalingas tiesioginis ryšys tarp interneto naršyklės ir serverio. „Kerberos“ yra saugesnė, nes niekada neperduoda slaptažodžių per tinklą. Jis išskirtinis tuo, kad naudoja bilietus, kurie įrodo vartotojo tapatybę tam tikrame serveryje, neišsiunčiant slaptažodžių per tinklą ar talpyklos slaptažodžių vietinio vartotojo kietajame diske. „Kerberos“ autentifikavimas yra geriausias vidinių IIS diegimų metodas (svetainės, kurias naudoja tik domeno klientai).
Autentifikavimas
- Vienas iš pagrindinių „Kerberos“ pranašumų, palyginti su NTLM, yra tas, kad „Kerberos“ siūlo abipusį autentifikavimą ir siekia kliento-serverio modelio, tai reiškia, kad yra patikrintas kliento ir serverio autentiškumas. Tačiau tiek paslauga, tiek klientas turi veikti „Windows 2000“ ar naujesnėje versijoje, kitaip autentifikuoti nepavyks. Skirtingai nei NTLM, kuris apima tik IIS7 serverį ir klientą, „Kerberos“ autentifikavimas taip pat apima „Active Directory“ domeno valdiklį..
NTLM ir Kerberos: palyginimo diagrama
NTLM versijos santrauka Kerberos
Nors abu protokolai gali autentifikuoti klientus, neperduodami slaptažodžių per tinklą bet kokia forma, NTLM autentifikuoja klientus, naudodamas iššūkio / atsakymo mechanizmą, pagrįstą trijų krypčių rankos paspaudimu tarp kliento ir serverio. Kita vertus, „Kerberos“ yra bilietais pagrįstas autentifikavimo protokolas, saugesnis nei NTLM ir palaikantis abipusį autentifikavimą, o tai reiškia, kad tiek kliento, tiek serverio autentiškumas yra patikrinti. Be to, „Kerberos“ palaiko apsimetinėjimą ir delegavimą, o NTLM palaiko tik apsimetinėjimą. NTLM nėra toks saugus kaip „Kerberos“, todėl visada rekomenduojama kuo daugiau naudoti „Kerberos“.
