Resultados de la búsqueda :

×
Registrarsee Contáctenos

Contenido

Mecanismo de autenticación Kerberos/NTLM

El protocolo Kerberos es un protocolo de autenticación para aplicaciones cliente/servidor. Para fines de autenticación, se entregan tickets a los clientes desde el Centro de distribución de claves Kerberos (KDC). El ticket Kerberos se presenta a los servidores después de que se haya establecido la conexión. Los tickets de autenticación Kerberos representan las credenciales de red del cliente.

Desafío/Respuesta de Windows (NTLM) es el protocolo de autenticación utilizado en redes que incluyen sistemas que ejecutan el sistema operativo Windows y en sistemas independientes.

Autenticación de Windows utiliza el protocolo de autenticación Kerberos o el protocolo de autenticación NTLM, según las configuraciones del cliente y del servidor.

Más información Planes de Precios


Protocolo de autenticación NTLM de Kerberos

  • El NEGOCIAR_MENSAJE define un mensaje de negociación NTLM que se envía desde el cliente al servidor. Este mensaje permite al cliente especificar sus opciones NTLM admitidas en el servidor.
  • El DESAFIO_MENSAJE define un mensaje de desafío NTLM que se envía desde el servidor al cliente y el servidor lo utiliza para desafiar al cliente a probar su identidad.
  • El AUTENTICATE_MESSAGE define un mensaje de autenticación NTLM que se envía desde el cliente al servidor después de que el cliente procesa CHALLENGE_MESSAGE.

Protocolo de autenticación NTLM de Kerberos

  • Mensaje A: Clave de sesión de cliente/TGS cifrada utilizando la clave secreta del cliente/usuario.
  • Mensaje B: Ticket-Otorgamiento-Ticket cifrado mediante la clave secreta del TGS.
  • Mensaje C: Compuesto por el TGT del mensaje B y el ID del servicio solicitado.
  • Mensaje D: Autenticador cifrado utilizando la clave de sesión Cliente/TGS.
  • Mensaje E: ticket de cliente a servidor cifrado utilizando la clave secreta del servicio.
  • Mensaje F: Clave de sesión Cliente/Servidor cifrada con la Clave de sesión Cliente/TGS.
  • Mensaje G: un nuevo autenticador, que incluye el ID del cliente, la marca de tiempo y está cifrado mediante la clave de sesión del cliente/servidor.
  • Mensaje H: la marca de tiempo encontrada en el Autenticador del cliente cifrada usando la Clave de Sesión Cliente/Servidor.

Más preguntas frecuentes ➔

Sí, puede utilizar un usuario LDAP existente como entidad principal de servicio de Kerberos. Sin embargo, este usuario debe tener una contraseña configurada para que nunca caduque. Asegúrese de que ningún usuario utilice esta cuenta, ya que la aplicación utiliza esta cuenta como principal del servicio Kerberos y la tabla de claves correspondiente para obtener un ticket de Kerberos.

Toda la autenticación en Kerberos ocurre entre clientes y servidores. Por lo tanto, cualquier entidad que reciba un ticket de servicio para un servicio Kerberos se denomina "cliente Kerberos" en la terminología de Kerberos. Los usuarios suelen considerarse clientes, pero cualquier principal puede serlo.
El Centro de distribución de claves, o KDC para abreviar, suele denominarse "servidor Kerberos". El KDC implementa tanto el Servicio de autenticación (AS) como el Servicio de concesión de billetes (TGS). Cada contraseña conectada a cada principal se almacena en el KDC. Por esta razón, es esencial que el KDC sea lo más seguro posible.
La frase "servidor de aplicaciones" a menudo se refiere al software Kerberizado que los clientes utilizan para interactuar mientras se autentican mediante tickets Kerberos. Un ejemplo de servidor de aplicaciones es el demonio telnet Kerberos.

Esto sucede cuando se utiliza el protocolo NTLM para la autenticación en lugar de Kerberos.
Esto puede ocurrir por múltiples razones:

  • Compruebe si está utilizando una máquina unida a un dominio para acceder al sitio web.
  • Asegúrese de que la hora esté sincronizada entre el servidor LDAP y el servidor web.
  • Confirme si la configuración de su navegador y las opciones de Internet están configuradas para Kerberos SSO.
  • Si aún enfrenta este problema, no dude en contactarnos.



ADFS_sso ×
¡Hola!

¿Necesitas ayuda? ¡Estamos aquí!

múltiples proveedores