Как работает аутентификация в Active Directory?

Аутентификация в Active Directory работает на основе двух стандартов: Kerberos и Lightweight Directory Access Protocol (LDAP). www.lepide.com jumpcloud.com

Протокол Kerberos. www.lepide.com jumpcloud.com Позволяет пользователям входить в систему только один раз для доступа к ресурсам предприятия, используя ключ сессии, который действует в течение определённого периода. www.lepide.com Система также генерирует токен, который содержит политики доступа и права, чтобы пользователи получали доступ только к разрешённым ресурсам. www.lepide.com

Для подключения к серверу AD или контроллеру домена клиенты должны пройти аутентификацию у доверенного третьего лица — центра распределения ключей (KDC). www.lepide.com jumpcloud.com KDC включает сервер аутентификации (AS) и сервер выдачи билетов (TGS). www.lepide.com AS аутентифицирует клиентов в сети, шифруя учётные данные для входа секретным ключом пароля. www.lepide.com После успешной аутентификации AS отправляет клиенту билет выдачи билетов (TGT). www.lepide.com TGS дешифрует TGT и выдаёт клиенту токен, зашифрованный другим ключом. www.lepide.com Затем клиент передаёт токен целевому серверу, который дешифрует его, чтобы предоставить доступ к ресурсам на ограниченное время. www.lepide.com

Протокол LDAP. www.lepide.com jumpcloud.com Поддерживает сервисы аутентификации AD и является кроссплатформенным протоколом с открытым исходным кодом. www.lepide.com LDAP-аутентификация в AD предлагает два варианта: простая аутентификация и простая аутентификация с слоем безопасности (SASL). www.lepide.com При простой аутентификации LDAP генерирует запрос к серверу на основе учётных данных для входа, а также допускает анонимные и неаутентифицированные запросы к ресурсам. www.lepide.com SASL, в свою очередь, использует другие сервисы аутентификации, такие как Kerberos, для подключения к серверу LDAP. www.lepide.com Этот метод позволяет повысить безопасность, так как отделяет методы аутентификации от протоколов приложений. www.lepide.com