Sökresultat :

×
Registrera Kontakta oss

Innehåll

Kerberos/NTLM-autentiseringsmekanism

Kerberos-protokollet är ett autentiseringsprotokoll för klient/serverapplikationer. För autentiseringsändamål ges biljetter till kunderna från Kerberos Key Distribution Center (KDC). Kerberos-biljetten presenteras för servrarna efter att anslutningen har upprättats. Kerberos autentiseringsbiljetter representerar klientens nätverksuppgifter.

Windows Challenge/Response (NTLM) är autentiseringsprotokollet som används i nätverk som inkluderar system som kör Windows-operativsystemet och på fristående system.

Windows-autentisering använder antingen Kerberos-autentiseringsprotokoll eller NTLM-autentiseringsprotokoll, beroende på klient- och serverkonfigurationer.

Veta mer Prissättning planer


Kerberos NTLM Authentication Protocol

  • Ocuco-landskapet NEGOTIATE_MESSAGE definierar ett NTLM Negotiate-meddelande som skickas från klienten till servern. Med det här meddelandet kan klienten specificera sina NTLM-alternativ som stöds till servern.
  • Ocuco-landskapet CHALLENGE_MESSAGE definierar ett NTLM-utmaningsmeddelande som skickas från servern till klienten och det används av servern för att utmana klienten att bevisa sin identitet.
  • Ocuco-landskapet AUTHENTICATE_MESSAGE definierar ett NTLM-autentiseringsmeddelande som skickas från klienten till servern efter att CHALLENGE_MESSAGE har bearbetats av klienten.

Kerberos NTLM Authentication Protocol

  • Meddelande A: Klient-/TGS-sessionsnyckel krypterad med klientens/användarens hemliga nyckel.
  • Meddelande B: Ticket-Granting-Ticket krypterad med den hemliga nyckeln till TGS.
  • Meddelande C: Består av TGT från meddelande B och ID för den begärda tjänsten.
  • Meddelande D: Authenticator krypterad med klient/TGS-sessionsnyckeln.
  • Meddelande E: klient-till-server-biljett krypterad med hjälp av tjänstens hemliga nyckel.
  • Meddelande F: Klient-/serversessionsnyckel krypterad med klient-/TGS-sessionsnyckeln.
  • Meddelande G: en ny Authenticator, som inkluderar klient-ID, tidsstämpel och är krypterad med klient/serversessionsnyckel.
  • Meddelande H: tidsstämpeln som hittas i klientens Authenticator krypterad med klient-/serversessionsnyckeln.

Fler vanliga frågor ➔

Ja, du kan använda en befintlig LDAP-användare som Kerberos-tjänstehuvud. Den här användaren måste dock ha ett lösenord som aldrig upphör att gälla. Se till att det här kontot inte används av någon användare eftersom applikationen använder detta konto som Kerberos-tjänstens principal och motsvarande tangenttab för att få en kerberos-biljett.

All autentisering i Kerberos sker mellan klienter och servrar. Därför kallas varje enhet som tar emot en tjänstebiljett för en Kerberos-tjänst som en "Kerberos-klient" i Kerberos terminologi. Användare anses ofta vara kunder, men vilken som helst kan vara en.
Nyckeldistributionscentret, eller KDC för kort, kallas vanligtvis en "Kerberos-server". Både Authentication Service (AS) och Ticket Granting Service (TGS) implementeras av KDC. Varje lösenord som är kopplat till varje huvudman lagras i KDC. På grund av detta är det viktigt att KDC är så säkert som möjligt.
Frasen "applikationsserver" syftar ofta på Kerberiserad programvara som klienter använder för att interagera medan de autentiseras med Kerberos-biljetter. Ett exempel på en applikationsserver är Kerberos telnet-demon.

Detta händer när NTLM-protokollet används för autentisering istället för Kerberos.
Detta kan uppstå på grund av flera orsaker:

  • Kontrollera om du använder en domänansluten dator för att komma åt webbplatsen.
  • Se till att tiden är synkroniserad mellan LDAP-servern och webbservern.
  • Bekräfta om dina webbläsarinställningar och internetalternativ är konfigurerade för Kerberos SSO.
  • Om du fortfarande har det här problemet, kontakta oss gärna.



ADFS_sso ×
Hej där!

Behövs hjälp? Vi är här!

stödja