Материалы представленные на сайте исключительно с целью ознакомления пользователям Интернета и не преследуют коммерческих целей или нарушение авторских прав.
© 2018 - 2024
Рассмотрим новые возможности системы проверки подлинности по протоколу Kerberos в Windows Server 2003 и дадим основные сведения об использовании данных средств.
Ни одна из возможностей системы проверки подлинности по протоколу Kerberos, присутствовавших в Windows 2000, не была изъята из употребления или перемещена в другие линии продуктов.
Экономический эффект
| Новые возможности | Описание |
| Для входа на клиентский компьютер с Windows XP не требуется учетной записи на компьютере | Обычно для проверки подлинности по протоколу Kerberos необходима учетная запись на компьютере. Чтобы получить доступ к ресурсам компьютера, пользователь должен иметь билет службы для этого компьютера. Без этой проверки подлинности пользователя на компьютере компьютер должен осуществлять управление доступом, сопоставляя имя пользователя с именем, хранимым в местной базе данных учетных записей. Чтобы установить такое локальное сопоставление, пользователю необходимо запустить программу KSETUP. |
| Имя участника службы более не преобразуется к канонической форме | Ранее имя участника службы (SPN) приводилось к канонической форме диспетчера учетных записей безопасности (SAM) — например, mycomputer$. Это приводило к проблемам в тех случаях, когда пользователь запрашивал службу с неканоническим именем: система не могла определить, что у нее имеется кэшированный билет для этой службы, и запрашивала новый билет. Теперь решение заключается в использовании имени участника службы, которое было запрошено (без приведения к каноническому виду). |
| Чтобы центр распределения ключей мог выдать билет службы, необходимо установить имя участника службы для участника безопасности, действующего как служба | Это означает, что центр распределения ключей не выдаст билет службы учетной записи, которая не имеет имени участника службы (например, учетной записи пользователя). Причина заключается в том, что против службы, которая представляет собой обычную учетную запись с паролем, придуманным человеком, было бы проще организовать словарную атаку в автономном режиме. Для учетной записи, не имеющей имени участника службы, центр распределения ключей возвратит код ошибки, указывающий на то, что необходима процедура "пользователь-пользователь". |
| Расширенная проверка адреса клиента | Центр распределения ключей в Windows 2000 проверяет адреса в билетах, если они там есть. Однако при этом он не помещает запрошенные адреса в билет. В Windows Server 2003 центр распределения ключей по умолчанию работает в режиме совместимости с клиентами Windows 2000 и не помещает в билет адреса, указанные в AS-REQ, если в системный реестр не будет добавлен новый ключ (HKLM/System/CCS/Services/Kdc/KdcUseClientAddresses со значением типа DWORD, равным 1). Когда билет представляется службе выдачи билетов (TGS), адреса проверяются, если они есть. В Windows Server 2003 это можно запретить, добавив в реестр новый ключ (HKLM/System/CCS/Services/Kdc/KdcDontCheckAddresses со значением типа DWORD, равным 0). По умолчанию производится проверка адресов, если они есть (для совместимости с Windows 2000). |
| Поддержка номеров версии ключа | Номера версии ключа — это необязательная часть спецификации протокола Kerberos. Они могут включаться в данные, шифруемые с помощью Kerberos, если эти данные шифруются с использованием ключа с длительным сроком службы. В Windows Server 2003 впервые появилась возможность использования номера версии ключа. |
| Выбор типа шифрования | В Windows 2000 центр распределения ключей выбирает первый тип шифрования из имеющихся. В Windows Server 2003 центр распределения ключей выбирает самый надежный тип шифрования из числа поддерживаемых клиентом. |
| Обновление билета TGT в Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним | По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Продление будет осуществлено только в том случае, если билет TGT использовался менее чем за пять минут до истечения срока его действия. В противном случае срок действия билета TGT истечет, и его необходимо будет обновить (для чего требуются учетные данные). |
| Обновление билета TGT в Windows Server 2003 | По умолчанию срок действия билетов TGT равен десяти часам, однако это время может быть увеличено до семи дней (по умолчанию). Для продления срока ввод учетных данных не требуется. Обновление происходит с использованием на компьютере потока очистки. Если по какой-либо причине билет TGT не удастся продлить, он перестанет действовать, и его необходимо будет обновить (для чего требуются учетные данные). В Windows XP и Windows 2000 с пакетом обновления 2 (SP2) или более поздним обновление билета TGT инициируется, если он используется менее чем за пять минут до истечения срока его действия. В Windows Server 2003 система периодически обновляет билеты TGT, срок действия которых истекает. |
| Ограниченное делегирование | В Kerberos всегда предоставлялся механизм, позволяющий клиенту делегировать свой билет TGT промежуточному серверу. Этот механизм позволяет промежуточному серверу получать билеты службы для других служб от имени клиента. Например, такое делегирование позволяет промежуточному серверу в трехуровневой системе представляться конечному приложению в качестве клиента. Однако данный механизм позволяет промежуточному серверу получать билеты для любой службы от имени клиента. Ограниченное делегирование — это функция в Windows Server 2003, с помощью которой контроллер домена выдает промежуточному серверу билеты только для тех служб, для которых ему разрешено получать делегированные билеты (это определяется административной политикой). Таким образом, возможность делегирования для промежуточного сервера ограничивается административной политикой. |
| Ограниченное делегирование с преобразованием протоколов | Преобразование протоколов — это функция, позволяющая промежуточному серверу запрашивать билет, не требуя от клиента предварительно проходить проверку подлинности по протоколу Kerberos. Таким образом, клиент может использовать проверку подлинности по протоколу SSL при обращении к промежуточному серверу, а тот — проверку подлинности по протоколу Kerberos при обращении к конечному приложению. |
| Доверенные отношения между лесами | Многим организациям, развертывающим несколько лесов, требуется сотрудничество с лесами в других организациях. В этом случае установление внешних доверительных отношений требует огромных усилий и не позволяет использовать новейшие технические достижения. В Windows Server 2003 вводится понятие межлесных доверительных отношений, облегчающее развертывание нескольких лесов. Межлесные доверительные отношения позволяют федерализовать два леса Active Directory одним отношением доверия, обеспечив легкость проверки подлинности и авторизации между лесами. |
Дата: 2019-07-31, просмотров: 222.