Защита с использованием протокола Kerberos - часть 2
Улучшенное управление доверительными отношениями. Доверительные отношения NTLM всегда односторонние, не транзитивные, они конфигурируются вручную. Доверительные отношения Kerberos конфигурируются автоматически, поддерживаются между всеми доменами леса и являются транзитивными и двусторонними. Кроме того, доверительные отношения Kerberos могут быть сконфигурированы между лесами и доменами Kerberos Windows Server 2003 и другими реализациями протокола Kerberos.
Делегированная аутентификация. Когда клиент подключается к серверу, используя аутентификацию NTLM, сервер может использовать сертификаты клиента для доступа к ресурсам, расположенным только на локальном сервере. С аутентификацией Kerberos сервер может использовать сертификаты клиента для доступа к ресурсам, расположенным на другом сервере.
Примечание. Windows Server 2003 поддерживает аутентификацию через протокол SSL/TLS (Secure Sockets Layer/Transport Layer Security — Защищенные сокеты/Защита транспортного уровня), аутентификацию Digest и аутентификацию Passport. Так как эти службы используются в среде интернета для аутентификации служб информационного интернет-сервера от Microsoft (IIS - Internet Information Services) версии 6.0, то эти опознавательные опции обсуждаться не будут.