Razlika između NTLM-a i Kerberosa
Share
IIS integrirani Windows modul za provjeru autentičnosti implementira dva glavna protokola za provjeru autentičnosti: NTLM i Kerberosov protokol za provjeru autentičnosti. Poziva tri različita davatelja sigurnosnih usluga (SSP): Kerberos, NTLM i Pregovarač. Ovi SSP-ovi i protokoli za provjeru autentičnosti normalno su dostupni i koriste se u Windows mrežama. NTLM implementira NTLM provjeru autentičnosti, a Kerberos implementira Kerberos v5 provjeru autentičnosti. Pregovaranje je drukčije, jer ne podržava nijedan protokol provjere autentičnosti. Budući da integrirana provjera autentičnosti Windows uključuje nekoliko protokola provjere autentičnosti, potrebna joj je faza pregovaranja prije nego što može doći do stvarne provjere autentičnosti između web preglednika i poslužitelja. Tijekom ove faze pregovaranja, SSP za pregovaranje određuje koji će se protokol provjere autentičnosti koristiti između web preglednika i poslužitelja.
Oba protokola su izuzetno sigurna i sposobna su autentificirati klijente bez slanja lozinki preko mreže u bilo kojem obliku, ali oni su ograničeni. Autentifikacija NTLM ne radi preko HTTP proxyja jer zahtijeva ispravnu vezu između web preglednika i poslužitelja da bi ispravno funkcionirao. Kerberos provjera autentičnosti dostupna je samo na IE 5.0 preglednicima i IIS 5.0 web poslužiteljima ili novijim. Radi samo na strojevima sa sustavom Windows 2000 ili novijima i zahtijeva da neki dodatni portovi budu otvoreni na vatrozidima. NTLM nije siguran kao Kerberos, pa se uvijek preporučuje koristiti Kerberos u što većem broju. Pogledajmo dobro to dvoje.
Što je NTLM?
NT LAN Manager je protokol provjere autentičnosti na temelju izazova i odgovora koji koriste Windows računala koja nisu članovi domene Active Directory. Klijent pokreće autentifikaciju putem mehanizma izazova / odgovora koji se temelji na trosmjernom rukovanju između klijenta i poslužitelja. Klijent započinje komunikaciju slanjem poruke na poslužitelj u kojem se navode njegove mogućnosti šifriranja i sadrži ime korisničkog računa. Poslužitelj generira 64-bitnu slučajnu vrijednost zvanu nonce i odgovara na zahtjev klijenta vraćajući ovaj podatak koji sadrži podatke o vlastitim mogućnostima. Taj se odgovor naziva izazovom. Klijent zatim koristi niz izazivača i njegovu lozinku za izračunavanje odgovora koji prenosi na poslužitelj. Poslužitelj zatim provjerava odgovor koji je primio od klijenta i uspoređuje ga s NTLM odgovorom. Ako su dvije vrijednosti identične, provjera autentičnosti je uspješna.
Što je Kerberos?
Kerberos je protokol provjere autentičnosti na osnovi karata koji koriste Windows računala koja su članovi Active Directory domene. Kerberos autentifikacija je najbolja metoda za interne IIS instalacije. Provjera autentičnosti Kerberos v5 dizajnirana je na MIT-u i definirana je u RFC 1510. Windows 2000 i noviji implementiraju Kerberos kad se aktivira Active Directory. U najboljem dijelu, smanjuje se broj lozinki koje svaki korisnik mora upamtiti da bi iskoristio cijelu mrežu na jednu - Kerberos lozinku. Osim toga, on uključuje enkripciju i integritet poruke kako bi se osiguralo da se osjetljivi podaci za provjeru autentičnosti nikada ne šalju preko mreže na jasan način. Kerberos sustav djeluje putem skupa centraliziranih distribucijskih centara za ključeve ili KDC-a. Svaki KDC sadrži bazu podataka korisničkih imena i lozinki za obje korisnike i usluge omogućene Kerberos.
Razlika između NTLM i Kerberos
Protokol NTLM-a i Kerberosa
- NTLM je protokol provjere autentičnosti na temelju izazova i odgovora koji koriste Windows računala koja nisu članovi domene Active Directory. Klijent pokreće autentifikaciju putem mehanizma izazova / odgovora koji se temelji na trosmjernom rukovanju između klijenta i poslužitelja. Kerberos je, s druge strane, protokol provjere autentičnosti koji se temelji na ulaznicama i koji radi samo na računalima sa sustavom Windows 2000 ili novijim i koji rade u domeni Active Directory. Oba protokola za provjeru autentičnosti temelje se na simetričnoj ključnoj kriptografiji.
podrška
- Jedna od glavnih razlika između dva protokola provjere autentičnosti je u tome što Kerberos podržava i lažno predstavljanje i delegiranje, dok NTLM podržava samo lažno predstavljanje. Delegiranje je u osnovi isti koncept kao lažno predstavljanje koji uključuje samo obavljanje radnji u ime klijentovog identiteta. Međutim, lažno predstavljanje djeluje unutar dosega na jednom stroju, dok delegiranje djeluje i širom mreže. To znači da se ulaznica za autentifikaciju identiteta izvornog klijenta može prenijeti na drugi poslužitelj u mreži ako izvorno pristupani poslužitelj ima dozvolu za to..
sigurnosti
- Iako su oba protokola za provjeru autentičnosti sigurni, NTLM nije tako siguran kao Kerberos jer zahtijeva ispravnu vezu između web preglednika i poslužitelja da bi pravilno funkcionirao. Kerberos je sigurniji jer nikad ne šalje lozinke po mreži u čistini. Jedinstvena je po upotrebi karata koje dokazuju identitet korisnika određenom poslužitelju bez slanja lozinki preko mreže ili keširanja lozinki na tvrdom disku lokalnog korisnika. Kerberos autentifikacija je najbolja metoda za interne IIS instalacije (web stranice koje koriste samo klijenti domene).
Ovjera
- Jedna od glavnih prednosti Kerberosa nad NTLM-om je ta što Kerberos nudi uzajamnu provjeru autentičnosti i usmjeren na model klijent-server, što znači da su provjereni autentičnost klijenta i poslužitelja. Međutim, i usluga i klijent moraju se izvoditi na Windows 2000 ili noviji, u suprotnom provjera autentičnosti neće uspjeti. Za razliku od NTLM, koji uključuje samo IIS7 poslužitelj i klijenta, Kerberos provjera autentičnosti uključuje i kontroler domene Active Directory.
NTLM vs. Kerberos: Usporedni grafikon
Sažetak NTLM vs. Kerberos
Iako su oba protokola sposobna autentificirati klijente bez prenošenja lozinki preko mreže u bilo kojem obliku, NTLM provjerava autentičnost klijenta putem mehanizma izazova / odgovora koji se temelji na trosmjernom rukovanju između klijenta i poslužitelja. Kerberos je, s druge strane, protokol provjere autentičnosti utemeljen na ulaznicama koji je sigurniji od NTLM-a i podržava uzajamnu provjeru autentičnosti, što znači da su provjereni autentičnost klijenta i poslužitelja. Uz to, Kerberos podržava i lažno predstavljanje i delegiranje, dok NTLM podržava samo lažno predstavljanje. NTLM nije siguran kao Kerberos, pa se uvijek preporučuje koristiti Kerberos u što većem broju.
