17/8/2014 Informacin general de la autenticacin Kerberos

http://technet.microsoft.com/es-es/library/hh831553.aspx 1/2
Al usar este sitio acepta el uso de cookies para anlisis, contenido personalizado y publicidad. Saber ms
Informacin general de la autenticacin Kerberos
Personas que lo han encontrado til: 0 de 1
Publicada: febrero de 2012
Actualizado: febrero de 2013
Se aplica a: Windows 8, Windows Server 2012
Kerberos es un mecanismo de autenticacin usado para comprobar la identidad de un usuario o host. Este tema contiene informacin sobre la autenticacin
Kerberos en Windows Server 2012 y Windows 8.
Descripcin de la caracterstica
Los sistemas operativos Microsoft Windows Server implementan el protocolo de autenticacin Kerberos versin 5 y las extensiones para la autenticacin de
clave pblica. El cliente de autenticacin Kerberos se implementa como un proveedor de compatibilidad para seguridad (SSP) y se puede obtener acceso a l
mediante la interfaz del proveedor de compatibilidad para seguridad (SSPI). La autenticacin de usuario inicial se integra con la arquitectura de inicio de
sesin nico de Winlogon. El Centro de distribucin de claves Kerberos (KDC) se integra con otros servicios de seguridad de Windows Server que se ejecutan
en el controlador de dominio. El KDC usa la base de datos del servicio de directorio de Active Directory como su base de datos de cuentas de seguridad.
Active Directory es necesario para las implementaciones predeterminadas de Kerberos dentro del dominio o bosque. En Windows Server 2012 y Windows 8,
es posible sacar provecho de la autenticacin Kerberos para tratar los problemas de conectividad remota relacionados con la falta de conectividad al
controlador de dominio. Para hacerlo, se pueden crear conexiones proxy de los mensajes de autenticacin y cambio de contrasea de Kerberos para los
usuarios de DirectAccess o Escritorio remoto que solicitan acceso al dominio.
Aplicaciones prcticas
El protocolo Kerberos V5 es ms seguro, flexible y eficiente que NTLM. Estas son las ventajas que se obtienen al usar la autenticacin Kerberos:
Autenticacin delegada
Los servicios de Windows suplantan al cliente al obtener acceso a recursos en nombre del cliente. En muchos casos, un servicio puede completar su
trabajo en beneficio del cliente al obtener acceso a recursos en el equipo local. Tanto NTLM como el protocolo Kerberos V5 proporcionan la
informacin que necesita un servicio para suplantar al cliente de forma local. Sin embargo, algunas aplicaciones distribuidas estn diseadas de modo
que un servicio front-end deba suplantar a clientes al conectarse con servicios back-end en otros equipos. El protocolo Kerberos V5 incluye un
mecanismo de proxy que permite que un servicio suplante a su cliente al conectarse con otros servicios. Con NTLM, no hay una alternativa equivalente.
Interoperabilidad
La implementacin de Microsoft del protocolo Kerberos V5 se basa en las especificaciones de seguimiento de estndares recomendadas por el Grupo
de trabajo de ingeniera de Internet (IETF). En consecuencia, la implementacin de Windows del protocolo Kerberos V5 sienta las bases para la
interoperabilidad con otras redes en las que el protocolo Kerberos V5 se usa para la autenticacin.
Autenticacin ms eficaz para los servidores
Con la autenticacin NTLM, los servidores de aplicaciones deben conectarse a un controlador de dominio para autenticar a cada cliente. Con el
protocolo de autenticacin Kerberos V5, en cambio, el servidor no debe ir a un controlador de dominio. En lugar de ello, el servidor puede autenticar
al cliente al analizar las credenciales que este presenta. Los clientes pueden obtener credenciales para un servidor en particular una vez y, luego, volver
a usar esas credenciales durante una sesin de inicio de sesin de red. Los vales de sesin renovables reemplazan a la autenticacin de paso.
Autenticacin mutua
Al usar el protocolo Kerberos, una entidad que se encuentra en cualquiera de los dos extremos de una conexin de red puede comprobar que la otra
entidad sea quien dice ser. Si bien NTLM permite que los servidores comprueben la identidad de sus clientes, NTLM no permite que los clientes
comprueben la identidad de un servidor ni que un servidor compruebe la identidad de otro. La autenticacin NTLM se dise para un entorno de red
en el que se supona que los servidores eran autnticos. El protocolo Kerberos V5 no realiza dicha suposicin.
Funcionalidad nueva y cambiada
Para obtener una descripcin de los cambios que se realizaron en la implementacin de Kerberos en Windows, vea Novedades de la autenticacin Kerberos.
Vea tambin
17/8/2014 Informacin general de la autenticacin Kerberos
http://technet.microsoft.com/es-es/library/hh831553.aspx 2/2
Te ha resultado til?
Adiciones de comunidad

Tipo de contenido Referencias
Evaluacin del producto Control de acceso dinmico: introduccin a los escenarios
Vista previa tcnica del control de acceso dinmico
Vista previa tcnica del acceso remoto
What's New in Active Directory Domain Services (AD DS)
Planificacin No disponible an
Implementacin No disponible an
Operaciones No disponible an
Solucin de problemas No disponible an
Seguridad No disponible an
Herramientas y configuracin No disponible an
Recursos de la comunidad No disponible an
Tecnologas relacionadas Informacin general de Servicios de dominio de Active Directory
2014 Microsoft
S No