Разлика између НТЛМ-а и Кербероса

ИИС интегрирани Виндовс модул за провјеру идентитета имплементира два главна протокола за провјеру аутентичности: НТЛМ и Керберос протокол за провјеру идентитета. Позива три различита пружаоца услуга безбедности (ССП): Керберос, НТЛМ и Преговарач. Ови ССП-ови и протоколи за аутентификацију су обично доступни и користе се у Виндовс мрежама. НТЛМ имплементира НТЛМ провјеру аутентичности, а Керберос имплементира Керберос в5 провјеру аутентичности. Преговарање је другачије јер не подржава ниједан протокол аутентификације. Будући да интегрисана Виндовс аутентификација укључује неколико протокола за провјеру аутентичности, потребна јој је фаза преговарања прије него што може доћи до стварне провјере идентитета између веб претраживача и сервера. Током ове фазе преговора, ССП за преговарање одређује који ће се протокол аутентификације користити између веб прегледача и сервера.

Оба протокола су изузетно сигурна и способна су да аутентификују клијенте без преношења лозинки преко мреже у било којем облику, али су ограничени. Провјера идентитета НТЛМ-а не функционира преко ХТТП прокија јер му је потребна исправна веза између веб претраживача и сервера да би исправно функционирала. Керберос аутентификација је доступна само на ИЕ 5.0 прегледачима и ИИС 5.0 веб серверима или новијим. Ради само на машинама са оперативним системом Виндовс 2000 или новијима и захтева да неки додатни портови буду отворени на фиревалл-у. НТЛМ није безбедан као Керберос, зато се увек препоручује коришћење Кербероса у што већем броју. Погледајмо добро то двоје.

Шта је НТЛМ?

НТ ЛАН Манагер је протокол аутентификације заснован на изазову и одговору који користе Виндовс рачунари који нису чланови домена Ацтиве Дирецтори. Клијент покреће аутентификацију путем механизма изазова / одговора који се заснива на тросмерном руковању између клијента и сервера. Клијент започиње комуникацију слањем поруке на сервер наводећи његове могућности шифровања и садржи име корисничког налога. Сервер генерише 64-битну случајну вредност која се зове нонце и одговара на захтев клијента враћајући овај податак који садржи податке о сопственим могућностима. Овај одговор се зове изазов. Клијент затим користи низ изазивача и његову лозинку за израчунавање одговора који преноси на сервер. Сервер затим потврђује одговор који је примио од клијента и упоређује га са НТЛМ одговором. Ако су две вредности идентичне, аутентификација је успешна.

Шта је Керберос?

Керберос је протокол за аутентификацију на основу карата који користе Виндовс рачунари који су чланови Ацтиве Дирецтори домена. Керберос аутентификација је најбољи метод за интерне ИИС инсталације. Провјера идентитета Керберос в5 дизајнирана је на МИТ-у и дефинирана је у РФЦ 1510. Виндовс 2000 и новији имплементирају Керберос кад се активира Ацтиве Дирецтори. Што је најбољи део, смањује се број лозинки које сваки корисник мора упамтити да би употребио читаву мрежу до једне - Керберос лозинку. Поред тога, она укључује шифровање и интегритет поруке како би се осигурало да се осетљиви подаци за аутентификацију никада не шаљу преко мреже на јасном месту. Керберос систем делује путем скупа централизованих дистрибутивних центара за кључеве или КДЦ-а. Сваки КДЦ садржи базу података корисничких имена и лозинки и за кориснике и за услуге омогућене Керберос-ом.

Разлика између НТЛМ и Керберос

Протокол НТЛМ и Керберос

- НТЛМ је протокол аутентификације заснован на изазову и одговору који користе Виндовс рачунари који нису чланови домена Ацтиве Дирецтори. Клијент покреће аутентификацију путем механизма изазова / одговора који се заснива на тросмерном руковању између клијента и сервера. Керберос је, с друге стране, протокол за провјеру аутентичности на основу карата који ради само на машинама са оперативним системом Виндовс 2000 или новијим и ради у домени Ацтиве Дирецтори. Оба протокола за потврду идентитета заснивају се на симетричној кључној криптографији.

Подршка

- Једна од главних разлика између два протокола за аутентификацију је да Керберос подржава и лажно представљање и делегирање, док НТЛМ подржава само лажно представљање. Делегирање је у основи исти концепт као лажно представљање који укључује само обављање радњи у име идентитета клијента. Међутим, лажно представљање делује само у оквиру опсега на једној машини, док делегација делује и преко мреже. То значи да се картица за аутентификацију идентитета оригиналног клијента може проследити на други сервер у мрежи ако првобитно приступни сервер има дозволу за то..

Сигурност

- Иако су оба протокола за провјеру аутентичности сигурни, НТЛМ није тако сигуран као Керберос јер му је потребна веза између тачке и тачке између веб претраживача и сервера како би правилно функционирао. Керберос је сигурнији јер никада не преноси лозинке преко мреже на чистини. Јединствена је по употреби карата које доказују идентитет корисника датом серверу без слања лозинки преко мреже или кеширања лозинки на тврдом диску локалног корисника. Керберос аутентификација је најбољи метод за интерне ИИС инсталације (веб странице које користе само клијенти домене).

Аутентикација

- Једна од главних предности Кербероса над НТЛМ-ом је та што Керберос нуди обострану аутентификацију и усмерен на модел клијент-сервер, што значи да су и аутентичност клијента и сервера проверене. Међутим, и услуга и клијент морају бити покренути на Виндовс 2000 или новијим верзијама, у супротном провјера идентитета неће успјети. За разлику од НТЛМ, који укључује само ИИС7 сервер и клијента, Керберос аутентификација укључује и контролер домена Ацтиве Дирецтори.

НТЛМ вс. Керберос: Упоредни графикон

Резиме НТЛМ вс. Керберос

Иако су оба протокола способна аутентифицирати клијенте без преношења лозинки преко мреже у било којем облику, НТЛМ провјерава идентитет клијента путем механизма изазова / одговора који се заснива на тросмјерном руковању између клијента и сервера. Керберос је, с друге стране, протокол за провјеру аутентичности заснован на улазницама који је сигурнији од НТЛМ-а и подржава узајамну провјеру аутентичности, што значи да су провјерени аутентичност клијента и сервера. Поред тога, Керберос подржава и лажно представљање и делегирање, док НТЛМ подржава само лажно представљање. НТЛМ није безбедан као Керберос, зато се увек препоручује коришћење Кербероса у што већем броју.