Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Kerberos is een verificatieprotocol dat wordt gebruikt om de identiteit van een gebruiker of host te verifiëren. Dit onderwerp bevat informatie over Kerberos-verificatie in Windows Server en Windows.
De Windows Server-besturingssystemen implementeren het Kerberos versie 5-verificatieprotocol en extensies voor openbare-sleutelverificatie, het transporteren van autorisatiegegevens en delegatie. De Kerberos-verificatieclient wordt geïmplementeerd als een SSP (Security Support Provider) en kan worden geopend via de SSPI (Security Support Provider Interface). Initiële gebruikersverificatie is geïntegreerd met de Winlogon-architectuur voor eenmalige aanmelding.
Het Kerberos Key Distribution Center (KDC) is geïntegreerd met andere Windows Server-beveiligingsservices die worden uitgevoerd op de domeincontroller. De KDC gebruikt de Active Directory Domain Services-database van het domein als beveiligingsaccountdatabase. Active Directory Domain Services is vereist voor standaard Kerberos-implementaties binnen het domein of forest.
Praktische toepassingen
De voordelen die worden behaald door Kerberos te gebruiken voor verificatie op basis van een domein, worden beschreven in de volgende secties.
Gedelegeerde verificatie
Services die worden uitgevoerd op Windows-besturingssystemen kunnen een clientcomputer imiteren bij toegang tot resources namens de client. In veel gevallen kan een service het werk voor de client voltooien door toegang te krijgen tot resources op de lokale computer. Wanneer een clientcomputer wordt geverifieerd bij de service, bieden het NTLM- en Kerberos-protocol de autorisatiegegevens die een service nodig heeft om de clientcomputer lokaal te imiteren. Sommige gedistribueerde toepassingen zijn echter zodanig ontworpen dat een front-endservice de identiteit van de clientcomputer moet gebruiken wanneer deze verbinding maakt met back-endservices op andere computers. Kerberos-verificatie ondersteunt een delegeringsmechanisme waarmee een service namens de client actie kan ondernemen bij het maken van verbinding met andere services.
Eenmalige aanmelding
Als u Kerberos-verificatie binnen een domein of in een forest gebruikt, heeft de gebruiker of service toegang tot resources die zijn toegestaan door beheerders zonder meerdere aanvragen voor referenties. Nadat de initiële domeinaanmelding via Winlogon plaatsvindt, beheert Kerberos de referenties binnen het forest wanneer toegang tot resources wordt gezocht.
Interoperability
De implementatie van het Kerberos V5-protocol door Microsoft is gebaseerd op specificaties voor standaarden die worden aanbevolen voor de Internet Engineering Task Force (IETF). Als gevolg hiervan legt het Kerberos-protocol in Windows-besturingssystemen een basis voor interoperabiliteit met andere netwerken waarin het Kerberos-protocol wordt gebruikt voor verificatie. Daarnaast publiceert Microsoft documentatie over Windows-protocollen voor het implementeren van het Kerberos-protocol. De documentatie bevat de technische vereisten, beperkingen, afhankelijkheden en windows-specifiek protocolgedrag voor de implementatie van het Kerberos-protocol van Microsoft.
Efficiëntere verificatie voor servers
Voordat Kerberos wordt gebruikt, kan NTLM-verificatie worden gebruikt. Hiervoor moet een toepassingsserver verbinding maken met een domeincontroller om elke clientcomputer of service te verifiëren. Met het Kerberos-protocol vervangen hernieuwbare sessietickets pass-through-verificatie. De server is niet vereist om naar een domeincontroller te gaan, tenzij deze een PAC (Privilege Attribute Certificate) moet valideren. In plaats daarvan kan de server de clientcomputer verifiëren door referenties te onderzoeken die door de client worden gepresenteerd. Clientcomputers kunnen eenmaal referenties voor een bepaalde server verkrijgen en deze referenties vervolgens opnieuw gebruiken in een netwerkaanmeldingssessie.
Wederzijdse verificatie
Met behulp van het Kerberos-protocol kan een partij aan beide uiteinden van een netwerkverbinding controleren of de partij aan het andere uiteinde de entiteit is die het claimt te zijn. Met NTLM kunnen clients de identiteit van een server niet verifiëren of de ene server inschakelen om de identiteit van een andere server te verifiëren. NTLM-verificatie is ontworpen voor een netwerkomgeving waarin wordt aangenomen dat servers echt zijn. Het Kerberos-protocol maakt geen dergelijke aanname.
Versleutelingstypen
Vanaf Windows Server 2025 voldoet Kerberos niet meer aan de verouderde registersleutel REG_DWORD SupportedEncryptionTypes in het pad HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Microsoft raadt in plaats daarvan aan groepsbeleid te gebruiken. Zie Netwerkbeveiliging voor meer informatie over de groepsbeleidsinstellingen : Versleutelingstypen configureren die zijn toegestaan voor Kerberos.