Как работает аутентификация на уровне домена в современных сетевых средах?

Аутентификация на уровне домена в современных сетевых средах, например в Active Directory, обычно включает два стандарта: Kerberos и Lightweight Directory Access Protocol (LDAP). www.lepide.com

Аутентификация по протоколу Kerberos позволяет пользователям входить в систему только один раз для доступа к корпоративным ресурсам. www.lepide.com Для этого используется ключ сеанса, который действует в течение определённого периода. www.lepide.com Система также генерирует маркер, который содержит политики доступа и права, чтобы пользователи могли получать доступ только к разрешённым ресурсам. www.lepide.com

Процесс аутентификации по протоколу Kerberos: techdirectarchive.com

1. Пользователь входит в систему на клиенте и делает запрос в открытом тексте. techdirectarchive.com В сообщении содержатся ID пользователя, ID запрашиваемой службы, IP-адрес клиента и срок проверки. techdirectarchive.com
2. Сервер аутентификации проверяет, существует ли пользователь в базе данных KDC. techdirectarchive.com Если пользователь найден, генерируется случайный ключ (ключ сеанса) для использования между пользователем и сервером выдачи билетов (TGS). techdirectarchive.com
3. Клиент расшифровывает ключ и может войти в систему, сохраняя его локально. techdirectarchive.com Он также хранит зашифрованный TGT в своём кэше. techdirectarchive.com
4. При доступе к сетевому ресурсу клиент отправляет запрос TGS с именем ресурса, к которому он хочет получить доступ, ID пользователя и сохранённым TGT. techdirectarchive.com
5. TGS расшифровывает информацию пользователя и предоставляет билет сервиса и ключ сеанса сервиса для доступа к сервису, а затем отправляет их обратно клиенту. techdirectarchive.com
6. Клиент отправляет запрос серверу (зашифрованный билетом сервиса и ключом сеанса). techdirectarchive.com
7. Сервер расшифровывает запрос и, если он подлинный, предоставляет доступ к сервису. techdirectarchive.com

Аутентификация по протоколу LDAP предлагает два варианта: www.lepide.com

1. Простая аутентификация. www.lepide.com LDAP генерирует запрос сервера на основе учётных данных для входа, а также позволяет анонимные и неаутентифицированные запросы к ресурсам. www.lepide.com
2. Простая аутентификация с уровнем безопасности (SASL). www.lepide.com SASL использует другие службы аутентификации, такие как Kerberos, для подключения к серверу LDAP. www.lepide.com

В протоколах аутентификации используется процесс «запрос — ответ», поэтому пароль никогда не передаётся через сеть. www.osp.ru