Windows Authentifizierungsmethoden
Basic Authentifizierung:
- Ist recht unsicher
- Zur Authentifizierung wird Benutzername und Passwort benötigt
- Kann für HTTP- oder HTTPS-verbindungen eingesetzt werden
- Wird in Domänen oder Arbeitsgruppe eingesetzt
Neogiate Authentifizierung:
- Kennt man auch als WIA “Windows Integrated Authentication”
- Ausgehandelte Authentifizierungsmethode bzw. Single-Sign-On
- SPNEGO – nutzt die einfache oder verschlüsselte GSSAPI
- SPNEGO bestimmt, ob Kerberos oder NTLM verwendet werden soll
- Bevorzugt Kerberos
Digest Authentifizierung:
- Clientanfrage -> Server -> Authentifizierungsserver (Domänencontroller)
- Wenn der Client authentifiziert ist, erhält der Server einen Digest-Sitzungsschlüssel für nachfolgende Anforderungen vom Client
Kerberos Authentifizierung:
- Gegenseitige Authentifizierung mit verschlüsselten Schlüsseln zwischen Client und Server
- Der Client muss sich in derselben Domäne wie der Server befinden
SPNEGO:
- Ist ein Authentifizierungsmechanismus, der von einem Client oder Server verwendet wird, der Anforderungen über WinRM im Kontext des Active Directory empfängt
Unterschied zwischen Kerberos und Neogiate:
- Kerberos: Wird in einer Domäne als und ist die Standardauthentifizierungsmethode, sofern das Remoteziel nicht localhost also 127.0.0.1 ist.
- Neogiate: Ist die Standardauthentifizierungsmethode sofern das Remoteziel localhost also 127.0.0.1 ist.
CredSSP Authentifizierung:
- Ist die Alternative für Kerberos sofern Kerberos nicht eingesetzt werden kann.
- Wird aber sollte nicht für RDP Sitzungen oder PSRemoting verwendet werden.
https://www.der-windows-papst.de/2019/02/03/spn-kerberos-delegierung/