Perbezaan Antara NTLM dan Kerberos
Share
Modul pengesahan Windows bersepadu IIS melaksanakan dua protokol pengesahan utama: NTLM dan protokol pengesahan Kerberos. Ia menyeru tiga Pembekal Perkhidmatan Keselamatan yang berbeza (SSP): Kerberos, NTLM, dan Negosiasi. SSP dan protokol pengesahan ini biasanya tersedia dan digunakan pada rangkaian Windows. NTLM melaksanakan pengesahan NTLM dan Kerberos mengaplikasikan pengesahan Kerberos v5. Perundingan adalah berbeza kerana ia tidak menyokong sebarang protokol pengesahan. Oleh kerana pengesahan Windows Bersepadu merangkumi beberapa protokol pengesahan, ia memerlukan fasa perundingan sebelum pengesahan sebenar antara penyemak imbas dan pelayan Web boleh berlaku. Semasa fasa perundingan ini, SSP Perundingan menentukan protokol pengesahan mana yang digunakan antara pelayar Web dan pelayan.
Kedua-dua protokol ini sangat selamat dan mereka mampu mengesahkan pelanggan tanpa menghantar kata laluan melalui rangkaian dalam bentuk apa pun, tetapi ia adalah terhad. Pengesahan NTLM tidak berfungsi di seluruh proksi HTTP kerana ia memerlukan sambungan titik-ke-titik antara penyemak imbas dan pelayan Web untuk berfungsi dengan baik. Pengesahan Kerberos hanya tersedia pada pelayar IE 5.0 dan pelayan web IIS 5.0 atau yang lebih baru. Ia hanya berfungsi pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan memerlukan beberapa pelabuhan tambahan untuk dibuka di firewall. NTLM tidak selamat seperti Kerberos, jadi selalu disyorkan untuk menggunakan Kerberos sebanyak mungkin. Mari kita lihat dengan baik pada kedua-dua mereka.
Apa itu NTLM?
NT LAN Manager adalah protokol pengesahan berasaskan cabaran-tindak balas yang digunakan oleh komputer Windows yang bukan ahli domain Direktori Aktif. Pelanggan memulakan pengesahan melalui mekanisme cabaran / respons berdasarkan tiga jabat tangan antara klien dan pelayan. Pelanggan memulakan komunikasi dengan menghantar mesej kepada pelayan yang menyatakan keupayaan penyulitan dan yang mengandungi nama akaun pengguna. Server menjana nilai rawak 64-bit yang dipanggil nonce dan bertindak balas kepada permintaan pelanggan dengan mengembalikan notce ini yang mengandungi maklumat tentang keupayaannya sendiri. Sambutan ini dipanggil cabaran. Pelanggan kemudian menggunakan rentetan cabaran dan kata laluannya untuk mengira tindak balas, yang dihantar ke pelayan. Pelayan kemudian mengesahkan tindak balas yang diterima daripada klien dan membandingkannya dengan respons NTLM. Jika kedua-dua nilai adalah sama, pengesahan berjaya.
Apakah itu Kerberos??
Kerberos adalah protokol pengesahan berasaskan tiket yang digunakan oleh komputer Windows yang merupakan ahli domain Direktori Aktif. Pengesahan Kerberos adalah kaedah terbaik untuk pemasangan IIS dalaman. Pengesahan Kerberos v5 direka pada MIT dan ditakrifkan dalam RFC 1510. Windows 2000 dan kemudian mengimplementasikan Kerberos apabila Active Directory digerakkan. Bahagian yang terbaik, ia mengurangkan bilangan kata laluan yang setiap pengguna harus menghafal untuk menggunakan keseluruhan rangkaian kepada satu - kata laluan Kerberos. Di samping itu, ia menggabungkan integrasi enkripsi dan mesej untuk memastikan bahawa data pengesahan yang sensitif tidak pernah dihantar ke rangkaian dengan jelas. Sistem Kerberos beroperasi melalui satu set Pusat Pengedaran Utama berpusat, atau KDC. Setiap KDC mengandungi pangkalan data nama pengguna dan kata laluan untuk kedua-dua pengguna dan perkhidmatan yang dibolehkan oleh Kerberos.
Perbezaan antara NTLM dan Kerberos
Protokol NTLM dan Kerberos
- NTLM adalah protokol pengesahan berasaskan cabaran-tindak balas yang digunakan oleh komputer Windows yang bukan ahli domain Direktori Aktif. Pelanggan memulakan pengesahan melalui mekanisme cabaran / respons berdasarkan tiga jabat tangan antara klien dan pelayan. Kerberos, sebaliknya, adalah protokol pengesahan berasaskan tiket yang berfungsi hanya pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan menjalankan dalam domain Direktori Aktif. Kedua-dua protokol pengesahan adalah berdasarkan kriptografi kunci simetri.
Sokongan
- Salah satu perbezaan utama antara kedua-dua protokol pengesahan ialah Kerberos menyokong kedua-dua penyamaran dan delegasi, manakala NTLM hanya menyokong penyamaran. Perwakilan pada asasnya adalah konsep yang sama seperti peniruan yang melibatkan hanya melakukan tindakan bagi pihak identiti pelanggan. Walau bagaimanapun, penyamaran hanya berfungsi dalam skop pada satu mesin, sementara delegasi berfungsi di seluruh rangkaian juga. Ini bermakna tiket pengesahan identiti pelanggan asal boleh disalurkan ke pelayan lain di rangkaian jika pelayan yang mula-mula diakses mempunyai izin untuk melakukannya.
Keselamatan
- Walaupun kedua-dua protokol pengesahan selamat, NTLM tidak begitu selamat seperti Kerberos kerana ia memerlukan sambungan titik-ke-titik antara pelayar Web dan pelayan untuk berfungsi dengan baik. Kerberos lebih selamat kerana tidak pernah menghantar kata laluan ke rangkaian dengan jelas. Ia unik dalam penggunaan tiket yang membuktikan identiti pengguna ke pelayan yang diberikan tanpa menghantar kata laluan ke atas rangkaian atau kata laluan cache pada cakera keras pengguna tempatan. Pengesahan Kerberos adalah kaedah terbaik untuk pemasangan IIS dalaman (laman web yang digunakan hanya oleh klien domain).
Pengesahan
- Salah satu kelebihan utama Kerberos ke atas NTLM ialah Kerberos menawarkan pengesahan saling dan bertujuan untuk model klien-klien yang bermaksud pelanggan dan keaslian pelayannya disahkan. Walau bagaimanapun, kedua-dua perkhidmatan dan klien mesti dijalankan pada Windows 2000 atau lebih tinggi, jika tidak pengesahan akan gagal. Tidak seperti NTLM, yang hanya melibatkan pelayan IIS7 dan klien, pengesahan Kerberos melibatkan pengawal domain Direktori Aktif juga.
NTLM vs. Kerberos: Carta Perbandingan
Ringkasan NTLM Vs. Kerberos
Walaupun kedua-dua protokol itu mampu mengesahkan pelanggan tanpa menghantar kata laluan melalui rangkaian dalam sebarang bentuk, NTLM mengesahkan pelanggan walaupun mekanisme cabaran / respon yang berdasarkan jabat tangan tiga hala antara klien dan pelayan. Kerberos, sebaliknya, adalah protokol pengesahan berasaskan tiket yang lebih selamat daripada NTLM dan menyokong pengesahan bersama, yang bermaksud kelayakan pelanggan dan pelayan itu disahkan. Di samping itu, Kerberos menyokong kedua-dua penyamaran dan perwakilan, sementara NTLM hanya menyokong penyamaran. NTLM tidak selamat seperti Kerberos, jadi selalu disyorkan untuk menggunakan Kerberos sebanyak mungkin.
