Suchergebnisse :

×
Jetzt registrieren Kontakt

Inhalte

Kerberos/NTLM-Authentifizierungsmechanismus

Das Kerberos-Protokoll ist ein Authentifizierungsprotokoll für Client/Server-Anwendungen. Zur Authentifizierung erhalten die Clients Tickets vom Kerberos Key Distribution Center (KDC). Das Kerberos-Ticket wird den Servern vorgelegt, nachdem die Verbindung hergestellt wurde. Kerberos-Authentifizierungstickets stellen die Netzwerkanmeldeinformationen des Clients dar.

Windows Challenge/Response (NTLM) ist das Authentifizierungsprotokoll, das in Netzwerken verwendet wird, zu denen Systeme gehören, auf denen das Windows-Betriebssystem ausgeführt wird, sowie auf eigenständigen Systemen.

Windows-Authentifizierung verwendet je nach Client- und Serverkonfiguration entweder das Kerberos-Authentifizierungsprotokoll oder das NTLM-Authentifizierungsprotokoll.

WEITERE INFORMATIONEN Tarifpläne


Kerberos NTLM-Authentifizierungsprotokoll

  • Die NEGOTIATE_MESSAGE definiert eine NTLM-Negotiate-Nachricht, die vom Client an den Server gesendet wird. Mit dieser Nachricht kann der Client dem Server seine unterstützten NTLM-Optionen angeben.
  • Die CHALLENGE_MESSAGE definiert eine NTLM-Herausforderungsnachricht, die vom Server an den Client gesendet wird und vom Server verwendet wird, um den Client zum Nachweis seiner Identität aufzufordern.
  • Die AUTHENTICATE_MESSAGE Definiert eine NTLM-Authentifizierungsnachricht, die vom Client an den Server gesendet wird, nachdem CHALLENGE_MESSAGE vom Client verarbeitet wurde.

Kerberos NTLM-Authentifizierungsprotokoll

  • Nachricht A: Client-/TGS-Sitzungsschlüssel, verschlüsselt mit dem geheimen Schlüssel des Clients/Benutzers.
  • Nachricht B: Ticket-Granting-Ticket verschlüsselt mit dem geheimen Schlüssel des TGS.
  • Nachricht C: Bestehend aus dem TGT von Nachricht B und der ID des angeforderten Dienstes.
  • Nachricht D: Mit dem Client/TGS-Sitzungsschlüssel verschlüsselter Authentifikator.
  • Nachricht E: Client-zu-Server-Ticket, verschlüsselt mit dem geheimen Schlüssel des Dienstes.
  • Nachricht F: Client/Server-Sitzungsschlüssel, verschlüsselt mit dem Client/TGS-Sitzungsschlüssel.
  • Nachricht G: ein neuer Authentifikator, der die Client-ID und den Zeitstempel enthält und mit dem Client/Server-Sitzungsschlüssel verschlüsselt ist.
  • Nachricht H: Der im Authentifikator des Clients gefundene Zeitstempel, verschlüsselt mit dem Client/Server-Sitzungsschlüssel.

Weitere FAQs ➔

Ja, Sie können einen vorhandenen LDAP-Benutzer als Kerberos-Dienstprinzipal verwenden. Für diesen Benutzer muss jedoch ein Kennwort festgelegt sein, das niemals abläuft. Bitte stellen Sie sicher, dass dieses Konto von keinem Benutzer verwendet wird, da die Anwendung dieses Konto als Kerberos-Dienstprinzipal und die entsprechende Schlüsseltabelle verwendet, um ein Kerberos-Ticket zu erhalten.

Die gesamte Authentifizierung in Kerberos erfolgt zwischen Clients und Servern. Daher wird jede Entität, die ein Serviceticket für einen Kerberos-Dienst erhält, in der Kerberos-Terminologie als „Kerberos-Client“ bezeichnet. Benutzer werden oft als Kunden betrachtet, aber jeder Prinzipal könnte einer sein.
Das Key Distribution Center, kurz KDC, wird üblicherweise als „Kerberos-Server“ bezeichnet. Sowohl der Authentication Service (AS) als auch der Ticket Granting Service (TGS) werden vom KDC implementiert. Jedes mit jedem Prinzipal verbundene Passwort wird im KDC gespeichert. Aus diesem Grund ist es wichtig, dass das KDC so sicher wie möglich ist.
Der Begriff „Anwendungsserver“ bezieht sich häufig auf kerberisierte Software, die Clients zur Interaktion bei der Authentifizierung mithilfe von Kerberos-Tickets verwenden. Ein Beispiel für einen Anwendungsserver ist der Kerberos-Telnet-Daemon.

Dies geschieht, wenn das NTLM-Protokoll anstelle von Kerberos für die Authentifizierung verwendet wird.
Dies kann mehrere Gründe haben:

  • Überprüfen Sie, ob Sie für den Zugriff auf die Website einen Domänencomputer verwenden.
  • Stellen Sie sicher, dass die Uhrzeit zwischen dem LDAP-Server und dem Webserver synchronisiert ist.
  • Überprüfen Sie, ob Ihre Browsereinstellungen und Internetoptionen für Kerberos SSO konfiguriert sind.
  • Wenn Sie immer noch mit diesem Problem konfrontiert sind, können Sie uns gerne kontaktieren.



ADFS_sso ×
Hallo!

Brauchen Sie Hilfe? Wir sind hier!

Unterstützung