Perbedaan Antara NTLM dan Kerberos
Share
Modul otentikasi Windows terintegrasi IIS mengimplementasikan dua protokol otentikasi utama: NTLM dan protokol otentikasi Kerberos. Ia memanggil tiga Penyedia Layanan Keamanan (SSP) yang berbeda: Kerberos, NTLM, dan Negosiasi. SSP dan protokol otentikasi ini biasanya tersedia dan digunakan pada jaringan Windows. NTLM mengimplementasikan otentikasi NTLM dan Kerberos mengimplementasikan otentikasi Kerberos v5. Bernegosiasi berbeda karena tidak mendukung protokol otentikasi apa pun. Karena otentikasi Windows Terpadu mencakup beberapa protokol otentikasi, diperlukan fase negosiasi sebelum otentikasi yang sebenarnya antara browser Web dan server dapat berlangsung. Selama fase negosiasi ini, Negosiasi SSP menentukan protokol otentikasi mana yang harus digunakan antara browser Web dan server.
Kedua protokol tersebut sangat aman dan mereka mampu mengautentikasi klien tanpa mengirimkan kata sandi melalui jaringan dalam bentuk apa pun, tetapi mereka terbatas. Otentikasi NTLM tidak berfungsi di proksi HTTP karena memerlukan koneksi point-to-point antara browser Web dan server agar berfungsi dengan baik. Otentikasi Kerberos hanya tersedia di browser IE 5.0 dan server Web IIS 5.0 atau yang lebih baru. Ini hanya bekerja pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan membutuhkan beberapa port tambahan untuk dibuka di firewall. NTLM tidak seaman Kerberos, jadi selalu disarankan untuk menggunakan Kerberos sebanyak mungkin. Mari kita perhatikan keduanya.
Apa itu NTLM?
NT LAN Manager adalah protokol otentikasi berbasis respons-respons yang digunakan oleh komputer Windows yang bukan anggota domain Direktori Aktif. Klien memulai otentikasi melalui mekanisme tantangan / respons berdasarkan jabat tangan tiga arah antara klien dan server. Klien memulai komunikasi dengan mengirim pesan ke server yang menetapkan kemampuan enkripsi dan berisi nama akun pengguna. Server menghasilkan nilai acak 64-bit yang disebut nonce dan menanggapi permintaan klien dengan mengembalikance ini yang berisi informasi tentang kemampuannya sendiri. Respons ini disebut tantangan. Klien kemudian menggunakan string tantangan dan kata sandi untuk menghitung respons, yang ditransmisikan ke server. Server kemudian memvalidasi respons yang diterima dari klien dan membandingkannya dengan respons NTLM. Jika kedua nilai identik, otentikasi berhasil.
Apa itu Kerberos??
Kerberos adalah protokol otentikasi berbasis tiket yang digunakan oleh komputer Windows yang merupakan anggota domain Active Directory. Otentikasi Kerberos adalah metode terbaik untuk instalasi IIS internal. Otentikasi Kerberos v5 dirancang di MIT dan didefinisikan dalam RFC 1510. Windows 2000 dan yang lebih baru mengimplementasikan Kerberos ketika Active Directory digunakan. Bagian terbaiknya, ini mengurangi jumlah kata sandi yang harus dihafal setiap pengguna untuk menggunakan seluruh jaringan menjadi satu - kata sandi Kerberos. Selain itu, ia memasukkan enkripsi dan integritas pesan untuk memastikan bahwa data otentikasi sensitif tidak pernah dikirim melalui jaringan secara jelas. Sistem Kerberos beroperasi melalui serangkaian Pusat Distribusi Kunci terpusat, atau KDC. Setiap KDC berisi basis data nama pengguna dan kata sandi untuk pengguna dan layanan yang mendukung Kerberos.
Perbedaan antara NTLM dan Kerberos
Protokol NTLM dan Kerberos
- NTLM adalah protokol otentikasi berbasis respons-respons yang digunakan oleh komputer Windows yang bukan anggota domain Direktori Aktif. Klien memulai otentikasi melalui mekanisme tantangan / respons berdasarkan jabat tangan tiga arah antara klien dan server. Kerberos, di sisi lain, adalah protokol otentikasi berbasis tiket yang hanya bekerja pada mesin yang menjalankan Windows 2000 atau lebih tinggi dan berjalan di domain Active Directory. Kedua protokol otentikasi didasarkan pada kriptografi kunci simetris.
Dukung
- Salah satu perbedaan utama antara kedua protokol otentikasi adalah bahwa Kerberos mendukung peniruan dan pendelegasian, sementara NTLM hanya mendukung peniruan. Delegasi pada dasarnya adalah konsep yang sama dengan peniruan yang melibatkan hanya melakukan tindakan atas nama identitas klien. Namun, peniruan hanya bekerja dalam ruang lingkup pada satu mesin, sementara delegasi juga bekerja di seluruh jaringan. Ini berarti tiket otentikasi identitas klien asli dapat diteruskan ke server lain dalam jaringan jika server yang diakses sebelumnya memiliki izin untuk melakukannya.
Keamanan
- Meskipun kedua protokol otentikasi aman, NTLM tidak seaman Kerberos karena memerlukan koneksi point-to-point antara browser Web dan server agar dapat berfungsi dengan baik. Kerberos lebih aman karena tidak pernah mengirimkan kata sandi melalui jaringan secara jelas. Ini unik dalam penggunaan tiket yang membuktikan identitas pengguna ke server yang diberikan tanpa mengirim kata sandi melalui jaringan atau menyimpan kata sandi di hard disk pengguna lokal. Otentikasi Kerberos adalah metode terbaik untuk instalasi IIS internal (situs web yang hanya digunakan oleh klien domain).
Autentikasi
- Salah satu keuntungan utama Kerberos dibandingkan dengan NTLM adalah Kerberos menawarkan otentikasi timbal balik dan ditujukan pada model klien-server yang berarti keaslian klien dan server diverifikasi. Namun, baik layanan dan klien harus berjalan pada Windows 2000 atau lebih tinggi, jika tidak otentikasi akan gagal. Tidak seperti NTLM, yang hanya melibatkan server IIS7 dan klien, otentikasi Kerberos juga melibatkan pengontrol domain Direktori Aktif..
NTLM vs. Kerberos: Chart Perbandingan
Ringkasan NTLM Vs. Kerberos
Walaupun kedua protokol tersebut mampu mengautentikasi klien tanpa mengirimkan kata sandi melalui jaringan dalam bentuk apa pun, NTLM mengotentikasi klien melalui mekanisme tantangan / respons yang didasarkan pada jabat tangan tiga arah antara klien dan server. Kerberos, di sisi lain, adalah protokol otentikasi berbasis tiket yang lebih aman daripada NTLM dan mendukung otentikasi bersama, yang berarti keaslian klien dan server diverifikasi. Selain itu, Kerberos mendukung peniruan dan delegasi, sedangkan NTLM hanya mendukung peniruan. NTLM tidak seaman Kerberos, jadi selalu disarankan untuk menggunakan Kerberos sebanyak mungkin.
