NTLM vs Kerberos (Sharepoint, Autentificare, Configurare, Ntlm, Kerberos)

SPNotSoNewbieNow a intrebat.

Vreau doar să știu care este diferența dintre NTLM și Kerberos. Când să folosesc NTLM și Kerberos și când să nu le folosesc? De ce trebuie să folosiți Kerberos pentru feed-uri autentificate? Administratorul nostru mă întreabă de ce? Tocmai i-am spus că pentru că acest lucru îmi trebuie pentru a putea accesa fluxurile autentificate și știu că nu este mulțumit de acest răspuns. Poate cineva vă rog să facă lumină în această privință?

Mulțumesc,
SPNewbie

Comentarii

  • Mulțumesc băieți pentru răspunsurile voastre, toate sunt foarte utile! Acum trebuie să vorbesc cu băieții administratori 😉 –  > Por SPNotSoNewbieNow.
5 răspunsuri
Ivan Padabed

NTLM permite doar soluții cu 1 salt, deoarece transferă acreditările utilizatorilor către primul server – în cele mai multe cazuri este IIS pe serverul Front End SharePoint. Dacă doriți să obțineți niște date de pe un cod de server SharePoint (WebPart etc.) și cereți un alt server pentru date (ar putea fi un sistem back-end extern pe care doriți să îl integrați), nu puteți transmite contextul utilizatorului către acel 2nd hop. Impersonarea este o opțiune.

Kerberos permite stabilirea încrederii între servere, astfel încât să puteți transmite contextul utilizatorului către acel server back-end și să obțineți date de securitate (sau date orientate spre audiență) pentru utilizator.

Comentarii

Wictor Wilen MCA MCM MVP

În această discuție lipsește un lucru care este cerut în întrebare; diferența dintre NTLM și Kerberos.

NTLM este un protocol AuthN propriu-zis inventat de Microsoft, în timp ce Kerberos este un protocol standard.

Marea diferență constă în modul în care cele două protocoale gestionează autentificarea: NTLM utilizează o strângere de mână în trei direcții între client și server, iar Kerberos utilizează o strângere de mână în două direcții, folosind un serviciu de acordare a biletelor (centru de distribuție a cheilor). În Kerberos, clientul trebuie să aibă acces la un controler de domeniu (care eliberează biletele), în timp ce în NTLM clientul contactează serverul care contactează controlerul de domeniu.

Beneficiile de performanță, despre care vorbește SPDoctor, se datorează în principal cantității minimizate de trafic AuthN între servere, client și DC.

De asemenea, Kerberos este considerat a fi mai sigur decât NTLM.

IMHO, merită durerea inițială cu Kerberos, dar asigurați-vă că vă planificați pentru aceasta.

SPDoctor

Pentru dumneavoastră, motivul principal este că rezolvă problema „dublului salt” (delegare), așa cum s-a menționat într-un alt răspuns. În plus, mecanismul de autentificare Kerberos începe să devină mai eficient pe măsură ce timpul de sesiune al utilizatorului crește și reduce sarcina asupra controlerului de domeniu. Acest lucru se datorează faptului că Kerberos utilizează un bilet de autentificare și nu trebuie să se întoarcă la AD la fiecare solicitare. Aceasta este o problemă mai mare dacă DC-ul este la distanță de server. Kerberos este, de asemenea, mai sigur decât vechiul protocol NTLM.

Administratorul dvs. nu este probabil „mulțumit” de răspunsul dvs. deoarece a auzit că configurarea Kerberos este dificilă și nu știe de unde să înceapă. Chiar nu este atât de dificil, deși nu este trivial. Sarcina principală este configurarea Service Principal Names în Active Directory și trebuie să fie făcută corect. Adesea, administratorii greșesc acest lucru și apoi toată lumea devine frustrată, iar acest lucru răspândește ideea că configurarea Kerberos este o pacoste, ceea ce poate fi dacă nu știți ce faceți. În plus, veți primi acel dialog de avertizare înfricoșător atunci când încercați să îl activați în Administrația centrală.

Asigurați-vă că ați citit instrucțiunile articolul din technet și să verificați de două ori când administratorul dvs. stabilește SPN-urile.

Comentarii

  • din câte am înțeles, acest lucru ar putea fi considerat, de asemenea, o înșelăciune pentru soluțiile cu trafic redus, deoarece biletul are o dimensiune mai mare? Deci este nevoie de o anumită încărcare pentru a profita de utilizarea Kerb. Un alt punct cu privire la configurare: este o concepție greșită comună că trebuie să „convertiți la” Kerberos pe întreaga rețea, unde, de fapt, puteți rula Kerberos doar pe ferma SharePoint. De asemenea, este un punct bun faptul că trebuie să instruiți IT pentru a înțelege Kerberos. –  > Por Anders Rask.
  • Poate fi mai lent dacă sesiunile de utilizator sunt scurte (câteva minute), dar diferența este mică în ambele cazuri. Nu aș evita Kerberos din această cauză și nici nu l-aș alege doar pentru a obține performanță (excepția este conexiunea lentă la DC, unde NTLM auth vă poate ucide dacă aveți mult trafic). –  > Por SPDoctor.
Neil Richards

Iată un exemplu de când aveți nevoie și când nu aveți nevoie de el

  1. Utilizator >> Pagină web SharePoint cu vizualizator de rapoarte SSRS prin iFrame. NTLM permite utilizatorului să intre pe pagină. Utilizatorul merge direct la SSRS prin iFrame și folosește NTLM pentru a se autentifica acolo. Kerberos nu este necesar.
  2. Utilizator >> Pagină web SharePoint cu vizualizator de rapoarte SSRS în modul integrat. Utilizatorul merge la SharePoint și SharePoint merge la SSRS direct (adică fără iFrame). Pentru ca utilizatorul să delege autoritatea de a utiliza SharePoint, aveți nevoie de Kerberos. Fără acesta, este ca și cum SharePoint ar spune „aveți încredere în mine, îl reprezint pe Ted, serios, promit”. Kerberos este ca și cum ai avea o permisiune semnată și legalizată de către utilizator pentru a se autentifica într-un sistem extern.

Iată câteva dintre favoritele mele de top Kerberos. Cel de jos face legătura cu lista mea de pe Delicious

Comentarii

  • Cred că cel de-al treilea link este către toate postările din Delicious, nu doar către a ta. –  > Por Nicolas Raoul.
tekiegreg

Totul aici este corect până acum, dar, în general, pe care să o utilizați? Când configurez SharePoint, configurările Single-Server sunt de obicei NTLM, iar cele Multi-Server sunt de obicei Kerberos. De obicei, configurările multi-server vor implica într-o zi instrumente terțe, etc. care doresc să configureze autentificarea integrată oarecum cu SharePoint și, fiind conștient de acest lucru, încep de obicei cu Kerberos din prima zi. De asemenea, dacă aud vorbindu-se de instrumente terțe, de obicei, acest lucru mă împinge la o configurare Kerberos.

Nu este chiar atât de greu… trebuie doar să exersați suficient de mult configurarea SPN și delegarea.

EDIT: Acum, un alt factor în joc este de obicei dacă site-ul este sau nu orientat spre exterior și dacă pot avea încredere deplină în utilizatori. NTLM are acum vulnerabilități care pot permite altora să falsifice o autentificare. În timp ce Kerberos rămâne în mare parte nevătămat. Prin urmare, dacă am încredere în mare parte în utilizatori (aka Intranet cu un grup restrâns), pot lua în considerare NTLM. Dacă utilizatorii sunt doar parțial de încredere sau dacă site-ul este orientat spre exterior, acum este vorba de Kerberos.