Perbedaan antara NTLM dan Kerberos
- 1940
- 243
- Virgil Hartmann IV
Modul Otentikasi Windows terintegrasi IIS mengimplementasikan dua protokol otentikasi utama: NTLM dan protokol otentikasi Kerberos. Ini memanggil tiga penyedia layanan keamanan yang berbeda (SSP): Kerberos, NTLM, dan bernegosiasi. SSP dan protokol otentikasi ini biasanya tersedia dan digunakan di Windows Networks. NTLM mengimplementasikan otentikasi NTLM dan Kerberos mengimplementasikan otentikasi Kerberos V5. Bernegosiasi berbeda karena tidak mendukung protokol otentikasi apa pun. Karena otentikasi Windows terintegrasi mencakup beberapa protokol otentikasi, diperlukan fase negosiasi sebelum otentikasi aktual antara browser web dan server dapat terjadi. Selama fase negosiasi ini, negosiasi SSP menentukan protokol otentikasi mana yang akan digunakan antara browser web dan server.
Kedua protokolnya sangat aman dan mereka mampu mengautentikasi klien tanpa mengirimkan kata sandi melalui jaringan dalam bentuk apa pun, tetapi mereka terbatas. Otentikasi NTLM tidak berfungsi di seluruh proksi HTTP karena memerlukan koneksi point-to-point antara browser web dan server untuk berfungsi dengan baik. Otentikasi Kerberos hanya tersedia di IE 5.0 Browser dan IIS 5.0 server web atau lebih. Ini hanya berfungsi pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan membutuhkan beberapa port tambahan untuk dibuka di firewall. NTLM tidak seaman Kerberos, jadi selalu disarankan untuk menggunakan Kerberos sebanyak mungkin. Mari kita perhatikan keduanya.
Apa itu NTLM?
NT LAN Manager adalah protokol otentikasi berbasis tantangan-respons yang digunakan oleh komputer Windows yang bukan anggota dari domain Direktori Aktif. Klien memulai otentikasi melalui mekanisme tantangan/respons berdasarkan jabat tangan tiga arah antara klien dan server. Klien memulai komunikasi dengan mengirim pesan ke server yang menentukan kemampuan enkripsi dan berisi nama akun pengguna. Server menghasilkan nilai acak 64-bit yang disebut nonce dan menanggapi permintaan klien dengan mengembalikan nonce ini yang berisi informasi tentang kemampuannya sendiri. Respons ini disebut tantangan. Klien kemudian menggunakan string tantangan dan kata sandi untuk menghitung respons, yang dikirim ke server. Server kemudian memvalidasi respons yang diterima dari klien dan membandingkannya dengan respons NTLM. Jika kedua nilai itu identik, otentikasi berhasil.
Apa itu Kerberos?
Kerberos adalah protokol otentikasi berbasis tiket yang digunakan oleh komputer Windows yang merupakan anggota dari domain Direktori Aktif. Otentikasi Kerberos adalah metode terbaik untuk instalasi IIS internal. Otentikasi Kerberos V5 dirancang di MIT dan didefinisikan dalam RFC 1510. Windows 2000 dan kemudian mengimplementasikan Kerberos saat Direktori Aktif digunakan. Bagian terbaik, ini mengurangi jumlah kata sandi yang harus dihafalkan setiap pengguna untuk menggunakan seluruh jaringan menjadi satu - kata sandi Kerberos. Selain itu, ini menggabungkan enkripsi dan integritas pesan untuk memastikan bahwa data otentikasi sensitif tidak pernah dikirim melalui jaringan di bagian yang jelas. Sistem Kerberos beroperasi melalui serangkaian pusat distribusi kunci terpusat, atau KDC. Setiap KDC berisi database nama pengguna dan kata sandi untuk pengguna dan layanan yang diaktifkan Kerberos.
Perbedaan antara NTLM dan Kerberos
Protokol NTLM dan Kerberos
- NTLM adalah protokol otentikasi berbasis tantangan-respons yang digunakan oleh komputer Windows yang bukan anggota dari domain Direktori Aktif. Klien memulai otentikasi melalui mekanisme tantangan/respons berdasarkan jabat tangan tiga arah antara klien dan server. Kerberos, di sisi lain, adalah protokol otentikasi berbasis tiket yang hanya berfungsi pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan berjalan dalam domain Direktori Aktif. Kedua protokol otentikasi didasarkan pada kriptografi kunci simetris.
Mendukung
- Salah satu perbedaan utama antara dua protokol otentikasi adalah bahwa Kerberos mendukung peniruan dan delegasi, sementara NTLM hanya mendukung peniruan. Delegasi pada dasarnya adalah konsep yang sama dengan peniruan yang melibatkan hanya melakukan tindakan atas nama identitas klien. Namun, peniruan hanya berfungsi dalam ruang lingkup pada satu mesin, sementara delegasi bekerja di seluruh jaringan juga. Ini berarti tiket otentikasi dari identitas klien asli dapat diteruskan ke server lain di jaringan jika server yang awalnya diakses memiliki izin untuk melakukannya.
Keamanan
- Sementara kedua protokol otentikasi aman, NTLM tidak seaman Kerberos karena membutuhkan koneksi point-to-point antara browser web dan server untuk berfungsi dengan benar. Kerberos lebih aman karena tidak pernah mengirimkan kata sandi melalui jaringan di bagian yang jelas. Ini unik dalam penggunaan tiket yang membuktikan identitas pengguna ke server yang diberikan tanpa mengirim kata sandi melalui jaringan atau kata sandi caching di hard disk pengguna lokal. Otentikasi Kerberos adalah metode terbaik untuk instalasi IIS internal (situs web yang hanya digunakan oleh klien domain).
Autentikasi
- Salah satu keuntungan utama Kerberos dibandingkan NTLM adalah bahwa Kerberos menawarkan otentikasi timbal balik dan ditujukan untuk model klien-server yang berarti keaslian klien dan server keduanya diverifikasi. Namun, layanan dan klien harus berjalan di Windows 2000 atau lebih tinggi, jika tidak otentikasi akan gagal. Tidak seperti NTLM, yang hanya melibatkan server IIS7 dan klien, otentikasi Kerberos juga melibatkan pengontrol domain direktori aktif.
NTLM vs. Kerberos: Bagan Perbandingan
Ringkasan NTLM VS. Kerberos
Sementara kedua protokol mampu mengautentikasi klien tanpa mengirimkan kata sandi melalui jaringan dalam bentuk apa pun, NTLM mengotentikasi klien melalui mekanisme tantangan/respons yang didasarkan pada jabat tangan tiga arah antara klien dan server. Kerberos, di sisi lain, adalah protokol otentikasi berbasis tiket yang lebih aman daripada NTLM dan mendukung otentikasi timbal balik, yang berarti keaslian klien dan server keduanya diverifikasi. Selain itu, Kerberos mendukung peniruan dan delegasi, sementara NTLM hanya mendukung peniruan. NTLM tidak seaman Kerberos, jadi selalu disarankan untuk menggunakan Kerberos sebanyak mungkin.