NTLM 認証プロセスには、クライアントと IIS7 サーバーだけが関係します。 ただし、信頼できるサードパーティも、チケットベースの Kerberos プロトコルの下でこの認証プロセスに関与しています。
この XNUMX つの重要な違いは、比較分析で明らかな他の相違点によってさらに強調されます。
主要な取り組み
- NTLM は、認証にチャレンジ/レスポンス メカニズムを使用する Microsoft 認証プロトコルであり、Windows 環境で使用されます。
- Kerberos は、Unix ベースのシステムやクロスプラットフォーム環境で広く使用されているチケット システムを使用するネットワーク認証プロトコルです。
- NTLM はクライアントとサーバー間の一連のハンドシェイクに依存しますが、Kerberos は信頼できるサードパーティの認証サーバーを使用して認証用のチケットを発行します。
NTLM 対 ケルベロス
NTLM 資格情報は、対話型ログオン プロセス中に取得されたデータに基づいており、 ドメイン名、ユーザー名、およびユーザーのパスワードの一方向ハッシュ。 ケルベロスはコンピューター ネットワークセキュリティー インターネットなどの信頼できないネットワークを介して、XNUMX つ以上の信頼できるホスト間のサービス要求を認証するプロトコル。
比較表
| 比較のパラメータ | NTLM | Kerberos |
|---|---|---|
| 定義 | NTLM は、Active Directory ドメインのメンバーではなく、古い Windows モデルで使用される Microsoft 認証プロトコルです。 | Kerberos は、最新の Windows モデルで使用されるチケット ベースの認証プロトコルです。 これらのコンピューターは、既に Active Directory ドメインのメンバーです。 |
| 認証プロセス | NTLM では、認証プロトコルにはクライアントと IIS7 サーバーのみが関与します。 | Kerberos 認証プロトコルには、クライアント、サーバー、および信頼できるサードパーティのチケット パートナーが関与します。 サードパーティは Active Directory ドメイン コントローラーです。 |
| セキュリティ | NTLM は、Kerberos プロトコルよりも安全性が低くなります。 | Kerberos 認証プロトコルは、ユーザーの保護を強化します。 NTLM プロトコルよりもはるかに安全です。 |
| 相互認証 | NTLM には相互認証機能がありません。 | 相互認証機能は Kerberos に含まれています。 |
| 委任と偽装 | NTLM は委任をサポートしていません。 NTML プロトコルは、偽装のみをサポートします。 | Kerberos は、委任と偽装の両方をサポートしています。 |
| スマートカード ログオン | スマート カードを使用した XNUMX 要素ログインは、NTLM プロトコルでは許可されていません。 | Kerberos プロトコルでは、スマートカードを使用した XNUMX 要素ログイン手順が許可されています。 |
| 互換性 | NTLM は、Windows 95、98、NT 4.0 などの古い Windows モデルと互換性があります。 | Kerberos は、Microsoft Windows 2000、XP などのすべての最新の Windows モデルと互換性があります。 |
NTLMとは?
NTLM プロトコルは、チャレンジ/レスポンス システムを使用してログインを認証する独自の Windows 認証プロトコルです。 NTLM システムは、Active Directory ドメインのメンバーではない古い Windows コンピューターで広く使用されていました。
クライアントによる認証プロセスの開始後、クライアントとサーバー間のスリーウェイ ハンドシェイクが開始されます。 このプロセスは、クライアントが自分のアカウント名と暗号化機能を指定するメッセージを送信することから始まります。
その結果、サーバーは 64ビット ノンス。 この応答はチャレンジと呼ばれます。 クライアントの応答には、この値とパスワードが含まれます。
NTLM が提供するセキュリティは、他の認証プロトコルの新しいバージョンが提供するセキュリティよりも劣ります。この認証プロトコルは、三者間手順を使用しません。
その結果、安全性が低いと見なされます。 さらに、この古いプロトコルは、スマートカード ログオン、相互認証、委任などを促進しません。
ケルベロスとは?
Kerberos は、ブランドが立ち上げた最新モデルと互換性のある Windows 認証プロトコルです。 これは、既に Active Directory ドメインのメンバーになっている Windows PC で使用されるチケットベースのプロトコルです。
このプロトコルの USP は、ユーザーがネットワークにアクセスするために必要なパスワードの総数を効果的に XNUMX つだけに減らすことができるということです。
このセキュアで洗練された高度な認証プロトコルは、MIT で設計されました。 Windows 2000 モデルからその他の最近のモデルまで、すべてのコンピューターの標準認証プロトコルとして受け入れられています。
Kerberos には、相互認証やスマート カード ログオンなど、いくつかの手ごわい仕様が含まれています。
Kerberos プロトコルのセキュリティ保証は比類のないものです。 サードパーティを使用してログインを認証します。 これにより、安全性が向上し、機密データの脆弱性が最小限に抑えられます。 集中化されたデータセンターを介して動作することにより、Kerberos はさらなる安定性とセキュリティを保証します。
NTLM と Kerberos の主な違い
- NTLM と Kerberos の主な違いは、NTLM がチャレンジ/レスポンス ベースの Microsoft 認証プロトコルであり、Active Directory ドメインのメンバーではない古い Windows モデルで使用されていることです。 同時に、Kerberos は、Windows モデルの新しいバリアントで使用されるチケット ベースの認証プロトコルです。
- Kerberos は、XNUMX 要素認証プロトコルによるスマート カード ログオンをサポートしています。 NTLM は、スマート カード ログオンをサポートしていません。
- セキュリティに関しては、Kerberos は NTLM よりも優れています。 NTLM は、Kerberos よりも比較的安全性が低くなります。
- 相互認証機能は、Kerberos で使用できます。 逆に、NTLM はユーザーにこの相互認証機能を提供しません。
- Kerberos は委任と偽装の両方をサポートしますが、NTLM は偽装のみをサポートします。
- NTLM プロトコルでの認証プロセスには、クライアントとサーバーが関係します。 ただし、信頼できるサード パーティは、Kerberos プロトコルでの認証プロセスに関与しています。
- 以前の Windows モデルは NTLM プロトコルを使用していました。 これには、Windows 95、98、NT 4.0 などのバージョンが含まれます。Kerberos プロトコルは、Microsoft Windows 2000、XP、およびその他の最新モデルなどの新しいモデルにプリインストールされています。
私はあなたに価値を提供するために、このブログ記事を書くことに多大な努力を払ってきました. ソーシャルメディアや友人/家族と共有することを検討していただければ、私にとって非常に役立ちます. 共有は♥️
