Аутентификация в Active Directory работает на основе двух стандартов: Kerberos и Lightweight Directory Access Protocol (LDAP). 13

Протокол Kerberos. 13 Позволяет пользователям входить в систему только один раз для доступа к ресурсам предприятия, используя ключ сессии, который действует в течение определённого периода. 1 Система также генерирует токен, который содержит политики доступа и права, чтобы пользователи получали доступ только к разрешённым ресурсам. 1

Для подключения к серверу AD или контроллеру домена клиенты должны пройти аутентификацию у доверенного третьего лица — центра распределения ключей (KDC). 13 KDC включает сервер аутентификации (AS) и сервер выдачи билетов (TGS). 1 AS аутентифицирует клиентов в сети, шифруя учётные данные для входа секретным ключом пароля. 1 После успешной аутентификации AS отправляет клиенту билет выдачи билетов (TGT). 1 TGS дешифрует TGT и выдаёт клиенту токен, зашифрованный другим ключом. 1 Затем клиент передаёт токен целевому серверу, который дешифрует его, чтобы предоставить доступ к ресурсам на ограниченное время. 1

Протокол LDAP. 13 Поддерживает сервисы аутентификации AD и является кроссплатформенным протоколом с открытым исходным кодом. 1 LDAP-аутентификация в AD предлагает два варианта: простая аутентификация и простая аутентификация с слоем безопасности (SASL). 1 При простой аутентификации LDAP генерирует запрос к серверу на основе учётных данных для входа, а также допускает анонимные и неаутентифицированные запросы к ресурсам. 1 SASL, в свою очередь, использует другие сервисы аутентификации, такие как Kerberos, для подключения к серверу LDAP. 1 Этот метод позволяет повысить безопасность, так как отделяет методы аутентификации от протоколов приложений. 1