Razlika med NTLM in Kerberosom
Share
Vgrajeni sistem za preverjanje pristnosti v sistem IIS izvaja dva glavna protokola za preverjanje pristnosti: NTLM in protokol za preverjanje pristnosti Kerberos. Poziva tri različne ponudnike varnostnih storitev (SSP): Kerberos, NTLM in pogajanja. Ti protokoli SSP in overjanja so običajno na voljo in se uporabljajo v omrežjih Windows. NTLM izvaja avtentikacijo NTLM, Kerberos pa izvaja preverjanje pristnosti Kerberos v5. Pogajanje je drugačno, ker ne podpira nobenih protokolov za preverjanje pristnosti. Ker integrirana avtentikacija Windows vključuje več protokolov za preverjanje pristnosti, potrebuje fazo pogajanj, preden se lahko zgodi dejanska overitev med spletnim brskalnikom in strežnikom. Med to pogajalsko fazo pogajalski SSP določa, kateri protokol za preverjanje pristnosti bo uporabljen med spletnim brskalnikom in strežnikom.
Oba protokola sta izjemno varna in omogočata avtentifikacijo strank, ne da bi v kakršni koli obliki prenašali gesla po omrežju, vendar so omejeni. Preverjanje pristnosti NTLM ne deluje prek pooblaščencev HTTP, ker za pravilno delovanje potrebuje povezavo med točko in točko med spletnim brskalnikom in strežnikom. Kerberos overjanje je na voljo samo v brskalnikih IE 5.0 in spletnih strežnikih IIS 5.0 ali novejših. Deluje samo na računalnikih z operacijskim sistemom Windows 2000 ali novejšim in zahteva, da so na požarnih zidovih odprta dodatna vrata. NTLM ni tako varen kot Kerberos, zato je vedno priporočljivo uporabljati Kerberos v največji možni meri. Oglejmo si dva.
Kaj je NTLM?
NT LAN Manager je protokol za preverjanje pristnosti, ki temelji na izzivu, in ga uporabljajo računalniki z Windows, ki niso člani domene Active Directory. Odjemalec začne preverjanje pristnosti prek mehanizma izziv / odziv, ki temelji na tristranskem stiskanju med odjemalcem in strežnikom. Odjemalec začne komunikacijo tako, da strežniku pošlje sporočilo z navedbo njegovih možnosti šifriranja in vsebuje ime uporabniškega računa. Strežnik ustvari 64-bitno naključno vrednost, imenovano nonce, in se na zahtevo stranke odzove tako, da vrne to nonce, ki vsebuje podatke o lastnih zmožnostih. Ta odgovor se imenuje izziv. Odjemalec nato uporabi izzivni niz in svoje geslo za izračun odziva, ki ga posreduje strežniku. Nato strežnik preveri odziv odjemalca in ga primerja z odgovorom NTLM. Če sta obe vrednosti enaki, je overjanje uspešno.
Kaj je Kerberos?
Kerberos je protokol za preverjanje pristnosti na podlagi vozovnic, ki ga uporabljajo računalniki z Windows, ki so člani domene Active Directory. Kerberosova avtentikacija je najboljša metoda za notranje namestitve IIS. Preverjanje pristnosti Kerberos v5 je bilo zasnovano na MIT in opredeljeno v RFC 1510. Windows 2000 in pozneje izvaja Kerberos, ko je Active Directory nameščen. Najboljši del pa je, da zmanjša število gesel, ki si jih mora vsak uporabnik zapomniti, da uporabi celotno omrežje do enega - geslo Kerberos. Poleg tega vključuje šifriranje in celovitost sporočil, s čimer je zagotovljeno, da občutljivi podatki za preverjanje pristnosti nikoli ne bodo poslani po omrežju. Kerberos sistem deluje prek nabora centraliziranih distribucijskih centrov ključev ali KDC-jev. Vsak KDC vsebuje bazo uporabniških imen in gesel za uporabnike in storitve, ki podpirajo Kerberos.
Razlika med NTLM in Kerberosom
Protokol NTLM in Kerberos
- NTLM je protokol za preverjanje pristnosti na podlagi izziva, ki ga uporabljajo računalniki z Windows, ki niso člani domene Active Directory. Odjemalec začne preverjanje pristnosti prek mehanizma izziv / odziv, ki temelji na tristranskem stiskanju med odjemalcem in strežnikom. Kerberos je na drugi strani protokol za preverjanje pristnosti na osnovi vozovnic, ki deluje samo na računalnikih z operacijskim sistemom Windows 2000 ali novejšim in deluje v domeni Active Directory. Oba protokola za overjanje temeljita na simetrični ključni kriptografiji.
Podpora
- Ena večjih razlik med obema avtentikacijskima protokoloma je, da Kerberos podpira tako lažno predstavljanje kot prenos, NTLM pa samo lažno predstavljanje. Delegiranje je v osnovi enak koncept kot lažno predstavljanje, ki vključuje zgolj izvajanje dejanj v imenu identitete stranke. Vendar pa lažna predstavitev deluje samo na enem stroju, medtem ko delegiranje deluje tudi po vsej mreži. To pomeni, da lahko potrdilo o pristnosti originalne odjemalčeve identitete prenesete na drug strežnik v omrežju, če ima prvotno dostopen strežnik dovoljenje za to..
Varnost
- Čeprav sta oba protokola za preverjanje pristnosti varna, NTLM ni tako varen kot Kerberos, ker za pravilno delovanje potrebuje povezavo med točko in točko med spletnim brskalnikom in strežnikom. Kerberos je bolj varen, ker nikoli ne prenaša gesla po omrežju na prosto. Edinstvena je po uporabi vozovnic, ki dokazujejo identiteto uporabnika na določenem strežniku brez pošiljanja gesel po omrežju ali predpomnjenja gesel na trdem disku lokalnega uporabnika. Kerberosova avtentikacija je najboljša metoda za notranje namestitve IIS (spletna mesta, ki jih uporabljajo samo odjemalci domene).
Preverjanje pristnosti
- Ena glavnih prednosti Kerberosa pred NTLM je, da Kerberos ponuja medsebojno avtentifikacijo in je usmerjen na model odjemalec-strežnik, kar pomeni, da sta pristnost odjemalca in strežnika preverjena. Vendar morata storitev in odjemalec delovati v operacijskem sistemu Windows 2000 ali novejši, sicer preverjanje pristnosti ne bo uspelo. Za razliko od NTLM, ki vključuje samo strežnik IIS7 in odjemalca, Kerberos preverjanje pristnosti vključuje tudi krmilnik domene Active Directory.
NTLM vs. Kerberos: Primerjalni grafikon
Povzetek NTLM Vs. Kerberos
Medtem ko sta oba protokola sposobna overiti odjemalce, ne da bi v kakršni koli obliki prenašala gesla po omrežju, NTLM overja odjemalce, čeprav je mehanizem za izziv / odziv, ki temelji na tristranskem stiskanju med odjemalcem in strežnikom. Kerberos je na drugi strani protokol za preverjanje pristnosti na vozovnici, ki je bolj varen kot NTLM in podpira medsebojno preverjanje pristnosti, kar pomeni, da sta pristnost odjemalca in strežnika preverjena. Kerberos poleg tega podpira tudi lažno predstavljanje in prenos, NTLM pa samo lažno predstavljanje. NTLM ni tako varen kot Kerberos, zato je vedno priporočljivo uporabljati Kerberos v največji možni meri.
