ntlm公司(ntlm)和kerberos(kerberos)的區別

IIS整合的Windows身份驗證模組實現了兩個主要的身份驗證協議：NTLM和Kerberos身份驗證協議。它呼叫三個不同的安全服務提供者（ssp）：Kerberos、NTLM和Negotiate。這些ssp和身份驗證協議通常在Windows網路上可用和使用。NTLM實現NTLM身份驗證，Kerberos實現Kerberos v5身份驗證。協商是不同的，因為它不支援任何身份驗證協議。由於整合的Windows身份驗證包含多個身份驗證協議，因此在Web瀏覽器和伺服器之間進行實際身份驗證之前需要一個協商階段。在此協商階段，協商SSP確定要在Web瀏覽器和伺服器之間使用的身份驗證協議。

這兩種協議都是非常安全的，它們能夠在不透過任何形式的網路傳輸密碼的情況下對客戶端進行身份驗證，但它們是有限的。NTLM身份驗證不能跨HTTP代理工作，因為它需要Web瀏覽器和伺服器之間的點對點連線才能正常工作。Kerberos身份驗證僅在IE 5.0瀏覽器和IIS 5.0 Web伺服器或更高版本上可用。它只能在執行Windows2000或更高版本的計算機上工作，並且需要在防火牆上開啟一些額外的埠。NTLM不像Kerberos那樣安全，因此總是建議盡可能多地使用Kerberos。讓我們好好看看這兩個。

6 1〃src=”http://www.tl80.cn/wp-content/uploads/2019/05/Difference-Between-NTLM-and-Kerberos.png“alt=”“width=”500〃height=”189〃&gt；

什麼是ntlm公司(ntlm)？

NT LAN Manager是一種基於質詢-響應的身份驗證協議，由不是Active Directory域成員的Windows計算機使用。客戶機透過基於客戶機和伺服器之間的三方握手的質詢/響應機制來啟動身份驗證。客戶端透過向伺服器傳送一條訊息來啟動通訊，該訊息指定其加密功能並包含使用者的帳戶名。伺服器生成一個名為nonce的64位隨機值，並透過返回這個nonce來響應客戶機的請求，該nonce包含有關其自身功能的資訊。這種反應被稱為挑戰。然後，客戶機使用質詢字串及其密碼來計算響應，並將其傳輸到伺服器。然後伺服器驗證它從客戶機收到的響應，並將其與NTLM響應進行比較。如果兩個值相同，則驗證成功。

什麼是kerberos(kerberos)？

Kerberos是一種基於票證的身份驗證協議，由作為Active Directory域成員的Windows計算機使用。Kerberos身份驗證是內部IIS安裝的最佳方法。kerberosv5身份驗證是在MIT設計的，在rfc1510.windows2000和更高版本中定義的，在部署activedirectory時實現Kerberos。最棒的是，它將每個使用者使用整個網路時必須記住的密碼數減少到一個——Kerberos密碼。此外，它還結合了加密和訊息完整性，以確保敏感的身份驗證資料永遠不會以明文形式透過網路傳送。Kerberos系統透過一組集中的金鑰分發中心（kdc）進行操作。每個KDC都包含使用者和啟用Kerberos的服務的使用者名稱和密碼資料庫。

ntlm和kerberos之間的區別

ntlm與kerberos協議

–NTLM是一種基於質詢-響應的身份驗證協議，用於非Active Directory域成員的Windows計算機。客戶機透過基於客戶機和伺服器之間的三方握手的質詢/響應機制來啟動身份驗證。另一方面，Kerberos是一種基於票證的身份驗證協議，它只適用於執行windows2000或更高版本併在activedirectory域中執行的計算機。這兩種認證協議都是基於對稱金鑰加密的。

支援

–這兩種身份驗證協議之間的主要區別之一是Kerberos同時支援模擬和委託，而NTLM只支援模擬。委託與冒充基本上是相同的概念，冒充只涉及代表客戶身份執行操作。然而，模擬只在一臺機器上的作用域內工作，而委派也在網路上工作。這意味著，如果最初訪問的伺服器具有這樣做的許可權，則可以將原始客戶端身份的身份驗證票證傳遞到網路中的另一個伺服器上。

安全

–雖然這兩種身份驗證協議都是安全的，但NTLM不如Kerberos安全，因為它需要Web瀏覽器和伺服器之間的點對點連線才能正常工作。Kerberos更安全，因為它從不在網路上以明文形式傳輸密碼。它的獨特之處在於使用票證向給定的伺服器證明使用者的身份，而無需透過網路傳送密碼或在本地使用者的硬碟上快取密碼。Kerberos身份驗證是內部IIS安裝（僅由域客戶端使用的網站）的最佳方法。

身份驗證

–Kerberos比NTLM的一個主要優點是Kerberos提供了相互身份驗證，並針對客戶機-伺服器模型，這意味著客戶機和伺服器的真實性都得到了驗證。但是，服務和客戶端都必須在Windows 2000或更高版本上執行，否則身份驗證將失敗。與僅涉及IIS7伺服器和客戶機的NTLM不同，Kerberos身份驗證還涉及activedirectory域控制器。

ntlm與kerberos：比較圖

總結 - ntlm的(of ntlm) vs. kerberos(kerberos)

雖然這兩種協議都能夠在不透過任何形式的網路傳輸密碼的情況下對客戶端進行身份驗證，但NTLM透過基於客戶端和伺服器之間的三方握手的質詢/響應機制對客戶端進行身份驗證。另一方面，Kerberos是一種基於票證的身份驗證協議，它比NTLM更安全，並且支援相互身份驗證，這意味著客戶端和伺服器的真實性都得到了驗證。此外，Kerberos支援模擬和委託，而NTLM只支援模擬。NTLM不像Kerberos那樣安全，因此總是建議盡可能多地使用Kerberos。