Perbezaan antara NTLM dan Kerberos

Perbezaan antara NTLM dan Kerberos

Modul Pengesahan Windows Bersepadu IIS melaksanakan dua protokol pengesahan utama: NTLM dan Protokol Pengesahan Kerberos. Ia menyeru tiga penyedia perkhidmatan keselamatan yang berbeza (SSP): Kerberos, NTLM, dan berunding. Protokol SSP dan pengesahan ini biasanya tersedia dan digunakan pada rangkaian Windows. NTLM Melaksanakan Pengesahan NTLM dan Kerberos Melaksanakan Pengesahan Kerberos V5. Berunding adalah berbeza kerana ia tidak menyokong sebarang protokol pengesahan. Kerana Pengesahan Windows Bersepadu termasuk beberapa protokol pengesahan, ia memerlukan fasa rundingan sebelum pengesahan sebenar antara pelayar web dan pelayan dapat berlangsung. Semasa fasa rundingan ini, SSP berunding menentukan protokol pengesahan yang digunakan antara pelayar web dan pelayan.

Kedua -dua protokol itu sangat selamat dan mereka mampu mengesahkan pelanggan tanpa menghantar kata laluan melalui rangkaian dalam apa jua bentuk, tetapi mereka terhad. Pengesahan NTLM tidak berfungsi merentasi proksi HTTP kerana ia memerlukan sambungan point-to-point antara pelayar dan pelayan web untuk berfungsi dengan baik. Pengesahan Kerberos hanya tersedia pada IE 5.0 pelayar dan IIS 5.0 pelayan web atau kemudian. Ia hanya berfungsi pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan memerlukan beberapa pelabuhan tambahan untuk dibuka pada firewall. NTLM tidak selamat seperti Kerberos, jadi selalu disyorkan untuk menggunakan Kerberos sebanyak mungkin. Mari kita lihat dengan baik.

””

Apa itu NTLM?

NT LAN Manager adalah protokol pengesahan berasaskan cabaran-tindak balas yang digunakan oleh komputer Windows yang bukan ahli domain direktori aktif. Pelanggan memulakan pengesahan melalui mekanisme cabaran/tindak balas berdasarkan jabat tangan tiga hala antara klien dan pelayan. Pelanggan memulakan komunikasi dengan menghantar mesej ke pelayan yang menyatakan keupayaan penyulitannya dan mengandungi nama akaun pengguna. Pelayan menghasilkan nilai rawak 64-bit yang dipanggil Nonce dan memberi respons kepada permintaan klien dengan mengembalikan Nonce ini yang mengandungi maklumat mengenai keupayaannya sendiri. Tanggapan ini dipanggil cabaran. Pelanggan kemudian menggunakan rentetan cabaran dan kata laluannya untuk mengira respons, yang mana ia menghantar ke pelayan. Pelayan kemudian mengesahkan respons yang diterima dari klien dan membandingkannya dengan respons NTLM. Sekiranya kedua -dua nilai itu sama, pengesahan berjaya.

Apa itu Kerberos?

Kerberos adalah protokol pengesahan berasaskan tiket yang digunakan oleh komputer Windows yang merupakan ahli domain direktori aktif. Pengesahan Kerberos adalah kaedah terbaik untuk pemasangan IIS dalaman. Pengesahan Kerberos V5 direka di MIT dan ditakrifkan dalam RFC 1510. Windows 2000 dan kemudiannya melaksanakan Kerberos apabila Direktori Aktif dikerahkan. Bahagian yang terbaik, ia mengurangkan bilangan kata laluan setiap pengguna harus menghafal untuk menggunakan keseluruhan rangkaian kepada satu - kata laluan Kerberos. Di samping itu, ia menggabungkan penyulitan dan integriti mesej untuk memastikan data pengesahan sensitif tidak pernah dihantar melalui rangkaian dengan jelas. Sistem Kerberos beroperasi melalui satu set pusat pengedaran utama berpusat, atau KDCS. Setiap KDC mengandungi pangkalan data nama pengguna dan kata laluan untuk kedua-dua pengguna dan perkhidmatan yang dibolehkan Kerberos.

Perbezaan antara NTLM dan Kerberos

Protokol NTLM dan Kerberos

- NTLM adalah protokol pengesahan berasaskan cabaran-tindak balas yang digunakan oleh komputer Windows yang bukan ahli domain direktori aktif. Pelanggan memulakan pengesahan melalui mekanisme cabaran/tindak balas berdasarkan jabat tangan tiga hala antara klien dan pelayan. Kerberos, sebaliknya, adalah protokol pengesahan berasaskan tiket yang hanya berfungsi pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan berjalan di domain Direktori Aktif. Kedua -dua protokol pengesahan berdasarkan kriptografi utama simetri.

Sokongan

- Salah satu perbezaan utama antara kedua -dua protokol pengesahan adalah bahawa Kerberos menyokong penyamaran dan delegasi, sementara NTLM hanya menyokong penyamaran. Delegasi pada dasarnya adalah konsep yang sama seperti penyamaran yang melibatkan hanya melakukan tindakan bagi pihak identiti pelanggan. Walau bagaimanapun, penyamaran hanya berfungsi dalam skop pada satu mesin, sementara delegasi berfungsi di seluruh rangkaian juga. Ini bermakna tiket pengesahan identiti klien asal boleh dihantar ke pelayan lain dalam rangkaian jika pelayan asal yang diakses mempunyai kebenaran untuk melakukannya.

Keselamatan

- Walaupun kedua-dua protokol pengesahan adalah selamat, NTLM tidak begitu selamat seperti Kerberos kerana ia memerlukan sambungan point-to-point antara pelayar dan pelayan web untuk berfungsi dengan baik. Kerberos lebih selamat kerana tidak pernah menghantar kata laluan melalui rangkaian dengan jelas. Ia unik dalam penggunaan tiket yang membuktikan identiti pengguna ke pelayan yang diberikan tanpa menghantar kata laluan melalui rangkaian atau kata laluan caching pada cakera keras pengguna setempat. Pengesahan Kerberos adalah kaedah terbaik untuk pemasangan IIS dalaman (laman web yang digunakan hanya oleh pelanggan domain).

Pengesahan

- Salah satu kelebihan utama Kerberos melalui NTLM ialah Kerberos menawarkan pengesahan bersama dan bertujuan untuk model pelayan klien yang bermaksud kesahihan pelanggan dan pelayan kedua-duanya disahkan. Walau bagaimanapun, kedua -dua perkhidmatan dan pelanggan mesti berjalan pada Windows 2000 atau lebih tinggi, jika tidak, pengesahan akan gagal. Tidak seperti NTLM, yang melibatkan hanya pelayan IIS7 dan klien, pengesahan Kerberos melibatkan pengawal domain Direktori Aktif juga.

NTLM vs. Kerberos: Carta Perbandingan

Ringkasan NTLM vs. Kerberos

Walaupun kedua-dua protokol itu mampu mengesahkan pelanggan tanpa menghantar kata laluan melalui rangkaian dalam apa jua bentuk, NTLM mengesahkan pelanggan walaupun mekanisme cabaran/tindak balas yang berdasarkan jabat tangan tiga hala antara klien dan pelayan. Kerberos, sebaliknya, adalah protokol pengesahan berasaskan tiket yang lebih selamat daripada NTLM dan menyokong pengesahan bersama, yang bermaksud kesahihan pelanggan dan pelayan kedua-duanya disahkan. Di samping itu, Kerberos menyokong penyamaran dan delegasi, sementara NTLM hanya menyokong penyamaran. NTLM tidak selamat seperti Kerberos, jadi selalu disyorkan untuk menggunakan Kerberos sebanyak mungkin.