В процессе проверки подлинности NTLM участвуют только клиент и сервер IIS7. Однако в рамках протокола Kerberos на основе билетов доверенная третья сторона также участвует в этом процессе аутентификации. Это принципиальное различие между ними еще более подчеркивается другими несходствами, очевидными при сравнительном анализе.
NTLM против Kerberos
Разница между NTLM и Kerberos заключается в том, что первый - это протокол проверки подлинности на основе запроса-ответа, а второй - протокол проверки подлинности на основе билетов. NTLM относится к протоколу проверки подлинности, который используется старыми моделями Windows, которые не являются членами домена Active Directory, в то время как Kerberos по сути является протоколом проверки подлинности на основе билетов, используемым в более новых моделях Windows, которые являются членами домена Active Directory.
Таблица сравнения NTLM и Kerberos
Параметры сравнения | NTLM | Kerberos |
Определение | NTLM - это протокол проверки подлинности Microsoft, который используется в более старых моделях Windows, которые не являются членами домена Active Directory. | Kerberos - это протокол проверки подлинности на основе билетов, используемый в последних моделях Windows. Эти компьютеры уже являются членами домена Active Directory. |
Процесс аутентификации | В NTLM протокол аутентификации включает исключительно клиент и сервер IIS7. | Протокол аутентификации Kerberos включает клиента, сервер, а также доверенного стороннего партнера по билетам. Третьей стороной обычно является контроллер домена Active Directory. |
Безопасность | NTLM менее защищен, чем протокол Kerberos. | Протокол аутентификации Kerberos предлагает улучшенную защиту для пользователей. Это значительно безопаснее протокола NTLM. |
Взаимная аутентификация | В NTLM отсутствует функция взаимной аутентификации. | В Kerberos включена функция взаимной аутентификации. |
Делегирование и выдача себя за другое лицо | NTLM не поддерживает делегирование. Протокол NTML поддерживает только олицетворение. | Как делегирование, так и олицетворение поддерживаются Kerberos. |
Вход со смарт-картой | Двухфакторный вход с использованием смарт-карт не допускается протоколами NTLM. | Двухфакторная процедура входа в систему с использованием смарт-карты разрешена протоколом Kerberos. |
Совместимость | NTLM совместим со старыми моделями Windows, такими как Windows 95, Windows 98, NT 4.0 и т. Д. | Kerberos совместим со всеми последними моделями Windows, такими как Microsoft Windows 2000, XP и другими. |
Что такое NTLM?
Протокол NTLM - это проприетарный протокол проверки подлинности Windows, в котором для проверки подлинности входа в систему используется система запрос-ответ. Система NTLM преобладала на старых компьютерах Windows, не входящих в домен Active Directory.
После инициирования процесса аутентификации клиентом начинается трехстороннее рукопожатие между клиентом и сервером. Процесс начинается с того, что клиент отправляет сообщение с указанием имени своей учетной записи и возможностей шифрования. Следовательно, сервер отвечает 64-битным одноразовым номером. Этот ответ называется вызовом. Ответ клиента состоит из этого значения и его или ее собственного пароля.
Безопасность, предлагаемая NTLM, уступает безопасности, обеспечиваемой более новыми версиями других протоколов аутентификации. Этот протокол аутентификации не использует трехстороннюю процедуру. В результате он считается менее безопасным. Более того, этот старый протокол не поддерживает вход со смарт-картой, взаимную аутентификацию, делегирование и т. Д.
Что такое Kerberos?
Kerberos - это протокол проверки подлинности Windows, совместимый с последними моделями, выпущенными компанией. Это протокол на основе билетов, который используется теми компьютерами с Windows, которые уже являются членами домена Active Directory. USP этого протокола заключается в том, что он может эффективно сократить общее количество паролей, необходимых пользователю для доступа к сети, до одного.
Этот безопасный, сложный и продвинутый протокол аутентификации был разработан в Массачусетском технологическом институте. Он был принят в качестве стандартного протокола аутентификации для всех компьютеров - начиная с модели Windows 2000 и заканчивая другими более поздними моделями. Kerberos также включает несколько внушительных спецификаций, таких как взаимная проверка подлинности и вход со смарт-картой.
Гарантия безопасности протокола Kerberos не имеет себе равных. Он использует стороннюю организацию для аутентификации логинов. Это обеспечивает повышенную безопасность и сводит к минимуму уязвимость конфиденциальных данных. Работая через централизованные центры обработки данных, Kerberos обеспечивает дополнительную стабильность и безопасность.
Основные различия между NTLM и Kerberos
- Основное различие между NTLM и Kerberos заключается в том, что NTLM - это протокол проверки подлинности Microsoft на основе запроса-ответа, который используется в старых моделях Windows, которые не являются членами домена Active Directory, а Kerberos - это протокол проверки подлинности на основе билетов, используемый в более новых. варианты модели Windows.
- Kerberos поддерживает вход со смарт-картой через протокол двухфакторной аутентификации. NTLM не поддерживает вход со смарт-картой.
- С точки зрения безопасности Kerberos имеет преимущество перед NTLM. NTLM сравнительно менее защищен, чем Kerberos.
- Функция взаимной аутентификации доступна с Kerberos. Напротив, NTLM не предлагает пользователю эту функцию взаимной аутентификации.
- В то время как Kerberos поддерживает как делегирование, так и олицетворение, NTLM поддерживает только олицетворение.
- В процессе аутентификации по протоколу NTLM участвуют клиент и сервер. Однако в соответствии с протоколом Kerberos надежная третья сторона участвует в процессе аутентификации.
- Более ранние модели Windows используют протокол NTLM. Сюда входят такие версии, как Windows 95, Windows 98, NT 4.0 и т. Д. Протокол Kerberos предустановлен на более новых моделях, таких как Microsoft Windows 2000, XP и других последних моделях.
Вывод
Протоколы NTLM и Kerberos основаны на стратегии криптографии с симметричным ключом, и оба являются надежными соответствующими системами аутентификации. Эти два могут показаться очень похожими на начинающих пользователей, однако разница между ними довольно заметна.
NTLM - это протокол проверки подлинности на основе запроса-ответа, а Kerberos - протокол проверки подлинности на основе билетов. Первый используется в основном в старых моделях Windows. Хотя Windows сохранила обратную совместимость с этим протоколом, с годами его использование значительно сократилось.
Это изменение во многом связано с разработкой более защищенных и сложных протоколов, таких как Kerberos. Kerberos предлагает расширенные функции, а также улучшенный защитный экран для пользователя.
Таким образом, при сравнительном выборе между ними новый протокол Kerberos оказывается однозначно успешным. Он воплощает в себе некоторые из самых желанных современных функций, которые можно пожелать в расширенном протоколе аутентификации.
использованная литература
- http://www.hjp.at/(en)/doc/rfc/rfc4559.html