认证、自动化和审计Kerberos/NTLM

Kerberos，无协议认证réseau informatique，无协议认证sécurisée sur Internet。Conçu principal pour les applications client- server, il fournit une authentication mutuelle par laquelle le client et le server peuvent chacun garantir l 'authenticité de l 'autre。Kerberos使用认证层appelé密钥分发中心(KDC)。Un KDC se compose d 'un server d ' authentication (AS)， qui authenticfie unutilisateur, et d 'un server d 'octroi de tickets (TGS)。

Chaque entité du réseau(客户端服务器)possède une clé secrète qui n 'est connue que de elle-même et du KDC。La connrenaissance de cette clé implique l 'authenticité de l 'entité。Pour la communication centre deux entités du réseau, le KDC génère une clé de session, appelée ticket Kerberos ou ticket de service。客户端要求提供服务器的信息和标识spécifique。Le client reçoit alors un ticket, appelé ticket d 'octroi de tickets (TGT)。客户公报，客户公报，客户服务，客户服务，客户服务reçu de l 'AS pour prouver son identité，等要求服务。Si le client est adusable au service, le TGS émet un ticket Kerberos au client。Le客户端联系ensuite Le服务器hébergeant Le服务(appelé Le server de service)，效用Le ticket Kerberos pour prouver qu 'il est autorisé à recevir Le服务。Le ticket Kerberos是一个une durée de vie可配置的。客户确认鹅肝颜色证。 S’il contacte le serveur physique plusieurs fois, il réutilise le ticket AS.

Kerberos协议基本功能定义。

图1所示。Fonctionnement de Kerberos

L ' authentication Kerberos présente有以下优点:

• 认证+主。服务器可以获取Kerberos客户端，服务器可以根据客户端指令处理验证信息。负责客户认证的主管与客户保持联系，确保认证过程的快速进行。
• 认证mutuelle。Lorsque le KDC émet un ticket Kerberos à un client et que le client使用le ticket pour accéder à un服务，seuls les服务器authentifiés peuvent déchiffrer le ticket Kerberos。作为服务器虚拟应用Citrix ADC测量déchiffrer le ticket Kerberos，您可以得出服务器虚拟和客户端两个authentifiés。既是对服务方产品的认证，也是对客户的认证。
• 连接唯一中心Windows和操作系统systèmes利用婚前Kerberos。

L’authentication Kerberos peut présenter les inconvénients suivants:

• Kerberos a des délais严格;les horloges des hôtes concernés doivent être synchronisées avec l ' horloge du server Kerberos提供安全认证échoue pas。Vous pouvez atténuer cet inconvénient en utilisant les démons网络时间协议pour garder les horloges de l 'hôte synchronisées。Les tickets Kerberos onune période de disponibilité， que vous pouvez配置器。
• Kerberos是服务器的核心功能，可连续使用。服务器Kerberos est en panne, personne peut ouvrir une会话。Vous pouvez atténuer ce risque en utilisant plus servers Kerberos et des mécanismes d ' authentication de安全。
• 认证方式contrôlée par un KDC centralisé，宣传妥协的基础设施，公用方提供的最基本的服务在当地提供的最基本的服务volé， permettre à最基本的服务方提供的最基本的服务。你的名字atténuer ce risque dans une an某种有用的独特的方法，你的名字可以随身携带，你的信封，你的信封préauthentification au moyen d 'un jeton matériel。

提供使用者认证Kerberos，并根据Citrix ADC和检查客户端进行配置。

认证优化Kerberos认证、自动化和审核

L 'appliance Citrix ADC优化Kerberos性能système lors de L ' authentication。démon d认证、自动化和审计对Kerberos需求的响应même utilisateur afin éviter密钥分发中心(KDC)， ce qui évitera les需求en double。