В процессе проверки подлинности NTLM участвуют исключительно клиент и сервер IIS7. Однако доверенная третья сторона также имеет доступ к этому процессу аутентификации по протоколу Kerberos на основе билетов.
Это основополагающее различие между ними еще больше подчеркивается другими различиями, очевидными при сравнительном анализе.
Основные выводы
- NTLM — это протокол проверки подлинности Microsoft, использующий механизм запроса-ответа для проверки подлинности и используемый в средах Windows.
- Kerberos — это протокол сетевой аутентификации, в котором используется система билетов, широко используемая в системах на основе Unix и в кроссплатформенных средах.
- В то время как NTLM полагается на серию рукопожатий между клиентом и сервером, Kerberos использует доверенный сторонний сервер проверки подлинности для выдачи билетов для проверки подлинности.
NTLM против Kerberos
Учетные данные NTLM основаны на данных, полученных в процессе интерактивного входа в систему, и состоят из доменное имя, имя пользователя и односторонний хэш пароля пользователя. Керберос это компьютер сетевой безопасности протокол, который аутентифицирует запросы на обслуживание между двумя или более доверенными хостами в ненадежной сети, такой как Интернет.
Сравнительная таблица
Параметры сравнения | NTLM | Kerberos |
---|---|---|
Определение | NTLM — это протокол проверки подлинности Microsoft, используемый в старых моделях Windows, а не в домене Active Directory. | Kerberos — это протокол проверки подлинности на основе билетов, используемый в последних моделях Windows. Эти компьютеры уже являются членами домена Active Directory. |
Процесс аутентификации | В NTLM протокол аутентификации включает только клиента и сервер IIS7. | В протоколе аутентификации Kerberos участвуют клиент, сервер и доверенный сторонний партнер по билетам. Третья сторона — контроллер домена Active Directory. |
Безопасность | NTLM менее безопасен, чем протокол Kerberos. | Протокол аутентификации Kerberos предлагает расширенную защиту для пользователей. Это значительно безопаснее, чем протокол NTLM. |
Взаимная аутентификация | Функция взаимной аутентификации отсутствует в NTLM. | Функция взаимной аутентификации включена в Kerberos. |
Делегирование и олицетворение | NTLM не поддерживает делегирование. Протокол NTML поддерживает только олицетворение. | Kerberos поддерживает как делегирование, так и олицетворение. |
Вход со смарт-картой | Двухфакторный вход с использованием смарт-карт не допускается протоколами NTLM. | Двухфакторная процедура входа в систему с использованием смарт-карты разрешена протоколом Kerberos. |
Совместимость | NTLM совместим со старыми моделями Windows, такими как Windows 95, 98, NT 4.0 и т. д. | Kerberos совместим со всеми последними моделями Windows, такими как Microsoft Windows 2000, XP и другими. |
Что такое НТЛМ?
Протокол NTLM — это проприетарный протокол проверки подлинности Windows, который использует систему «запрос-ответ» для проверки подлинности при входе в систему. Система NTLM преобладала на старых компьютерах с Windows, которые не были членами домена Active Directory.
После инициирования клиентом процесса аутентификации начинается трехстороннее рукопожатие между клиентом и сервером. Процесс начинается с того, что клиент отправляет сообщение с указанием имени своей учетной записи и возможностей шифрования.
Следовательно, сервер отвечает 64-бит одноразовый Этот ответ называется вызовом. Ответ клиента содержит это значение и его или ее пароль.
Безопасность, предлагаемая NTLM, уступает безопасности, предоставляемой более новыми версиями других протоколов аутентификации. Этот протокол аутентификации не использует трехстороннюю процедуру.
В результате он считается менее безопасным. Более того, этот старый протокол не поддерживает вход в систему с помощью смарт-карты, взаимную аутентификацию, делегирование полномочий и т. д.
Что такое Kerberos?
Kerberos — это протокол аутентификации Windows, совместимый с последними моделями, выпущенными брендом. Это протокол на основе билетов, который используется теми ПК с Windows, которые уже являются членами домена Active Directory.
УТП этого протокола заключается в том, что он может эффективно сократить общее количество паролей, необходимых пользователю для доступа к сети, до одного.
Этот безопасный, сложный и расширенный протокол аутентификации был разработан в Массачусетском технологическом институте. Он был принят в качестве стандартного протокола проверки подлинности для всех компьютеров, от модели Windows 2000 до более поздних моделей.
Kerberos включает в себя несколько внушительных спецификаций, таких как взаимная проверка подлинности и вход в систему с помощью смарт-карты.
Гарантия безопасности протокола Kerberos не имеет себе равных. Он использует третью сторону для аутентификации входа в систему. Это обеспечивает повышенную безопасность и минимизирует уязвимость конфиденциальных данных. Работая через централизованные центры обработки данных, Kerberos обеспечивает дополнительную стабильность и безопасность.
Основные различия между NTLM и Kerberos
- Основное различие между NTLM и Kerberos заключается в том, что NTLM — это протокол проверки подлинности Microsoft, основанный на запросе и ответе, который используется в более старых моделях Windows, не являющихся членами домена Active Directory. В то же время Kerberos — это протокол проверки подлинности на основе билетов, используемый в более новых вариантах модели Windows.
- Kerberos поддерживает вход со смарт-картой через протокол двухфакторной аутентификации. NTLM не поддерживает вход в систему с помощью смарт-карты.
- С точки зрения безопасности Kerberos имеет преимущество перед NTLM. NTLM сравнительно менее безопасен, чем Kerberos.
- Функция взаимной аутентификации доступна с Kerberos. Напротив, NTLM не предлагает пользователю эту функцию взаимной проверки подлинности.
- В то время как Kerberos поддерживает как делегирование, так и олицетворение, NTLM поддерживает только олицетворение.
- В процессе аутентификации по протоколу NTLM участвуют клиент и сервер. Однако надежная третья сторона имеет доступ к процессу аутентификации по протоколу Kerberos.
- В более ранних моделях Windows использовался протокол NTLM. Сюда входят такие версии, как Windows 95, 98, NT 4.0 и т. д. Протокол Kerberos предварительно установлен на более новых моделях, таких как Microsoft Windows 2000, XP и других последних моделях.