Základní přehled protokolu Kerberos pro ověřování uživatelů v systému Windows 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Překlady článku Překlady článku
ID článku: 217098 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Tento článek popisuje ověřování Kerberos uživatele v systému Windows 2000.

Všimněte si, že v záležitosti týkající se ověřování systému Windows 2000 je zcela zpětně kompatibilní. Tento článek se zaměřuje na ověřování Kerberos uživatele v čistém prostředí systému Windows 2000: ověřování mezi servery Windows 2000 a klienty Windows 2000.

Další informace

Windows 2000 poskytuje podporu pro ověřování v.5 MIT Kerberos definované v standardu IETF RFC 1510. Protokol Kerberos se skládá ze tří subprotocols. Subprotocol, ve kterém KDC (Centrum distribuce klíčů) poskytuje klienta klíč relace přihlášení a TGT (lístku udělování lístku) se nazývá Exchange Authentication Service (AS). Subprotocol distribuuje KDC klíč relace služby a lístek služby TGS (-Granting Service) Exchange nazývá. Subprotocol, které klient pre-sends lístek přístupu k službě se nazývá (CS) klienta a serveru Exchange.

Následuje jednoduchý přehled řetěz komunikace účastní relaci ověřování Kerberos mezi klientskou pracovní stanicí a prostředků serveru.

  1. Ověřování Exchange Service (AS)
    1. Uživatel A na systému Microsoft Windows 2000 Professional stanici přihlásí k síti Microsoft Windows 2000 zadáním své uživatelské jméno a heslo. Klient služby Kerberos systémem A pracovní stanice převede své heslo šifrovací klíč a uloží výsledek v proměnné programu.
    2. Klient služby Kerberos odešle zprávu do server DISTRIBUCE klíčů), typu KRB_AS_REQ (Kerberos Authentication Server požadavku). Tato zpráva má dvě části:
      • Identifikace uživatele, služba, pro které uživatel požaduje pověření TGS (-Granting Service)
      • Předběžného ověřování dat určen prokázat A zná své heslo. Toto je jednoduše ověřovatelem, šifrované A hlavní klíč. Hlavní klíč generované systémem jeho heslo až OWF.
    3. KDC přijetí KRB_AS_REQ od, vyhledá ve své databázi (služby Active Directory), uživatel A získává její hlavní klíč, dešifruje předběžného ověřování dat a vyhodnotí časové razítko uvnitř. Časové razítko předává test, KDC může být jistotu, že předběžného ověřování dat byl zašifrován s A jeho hlavní klíč a není pouze sebraných přehrání.
    4. Nakonec po KDC A ověřil identitu, vytvoří pověření klientský program na své pracovní stanici mohou prezentovat k služby TGS (lístku Granting Service). Pověření jsou vytvořeny a nasazeny způsobem...
      • Úplně nový přihlašovací relace klíč, šifrované A hlavní klíč
      • Druhé kopie klíče relace přihlášení a A jeho data autorizace v lístku udělování lístku (TGT), šifrované KDC jeho vlastní hlavní klíč.
      • V dalším KDC odešle tato pověření zpět klientovi podle odpovídání zpráva typu KRB_AS_REP (Odpověď ověřování Kerberos)
      • Jakmile klient přijme odpověď, dešifruje klíč relace přihlášení prostřednictvím aplikace A hlavní klíč. Klíč relace je poté uložen v mezipaměti lístek pracovní stanice klienta. TGT je extrahován z zprávy a uloženy v mezipaměti také
  2. Exchange Service (TGS) Ticket-Granting
    1. V této fázi, klient služby Kerberos systémem A pracovní stanice je hodláte ve skutečnosti požadovat pověření pro přístup k cílovému serveru uživatel B, odesláním zprávy typu KRB_TGS_REQ (Kerberos-Granting Service Request), službě KDC. Tato zpráva se skládá z následujících součástí...
      • Identity cílovou službu, pro které klient žádá pověření
      • Ověřovatel zašifrovány pomocí klíče relace přihlášení uživatele
      • TGT získané od AS Exchange
    2. KDC dešifruje TGT s jeho hlavní klíč a klíče relace A extrahuje přihlášení. Klíč relace přihlášení A slouží k dešifrování A ověřovatelem. Pokud průchodů ověřovatele A test KDC invents nový klíč relace a sdílet s B. Dvě kopie tento nový klíč relace jsou odeslány zpět A v jedné zprávy šifrované způsobem
      • Jedna kopie je zašifrován pomocí A klíče relace přihlášení
      • Druhou kopii je zašifrován pomocí cílový server hlavní klíč lístek spolu s A dat autorizace.
    3. Decrypts cílové relace serveru klíč pomocí své klíče relace přihlášení a ukládá do své mezipaměti spolu s lístek cílový server klíč relace.
  3. (CS) pro klienta serveru Exchange
    1. A klient služby Kerberos je nyní připraven být ověřeni cílový server B. A jeho klient odešle B zprávu typu KRB_AP_REQ (Kerberos Application Request). Tato zpráva obsahuje:
      • Ověřovatele zašifrovány pomocí klíče relace pro B
      • Lístek relace s B zašifrované B's hlavní klíč
      • Příznak označující, zda klient požaduje vzájemné ověřování.
    2. B dešifruje lístek a extrahuje A klíče dat a relace autorizace. B používá klíč relace k dešifrování A ověřovatelem a vyhodnotí časové razítko. Pokud ověřovatelem předává test, vyhledá B příznak vzájemné ověřování. Pokud je tento příznak nastaven, B používá klíč relace k zašifrování čas od uživatele ověřovatele a vrátí výsledek a ve zprávě typ KRB_AP_REP (Kerberos Application odpověď)
    3. A dešifruje odpověď s klíč relace. Pokud je ověřovatelem identické ten, že she odeslána B, klienta je jistotu, který server je originální a připojení pokračuje.

Vlastnosti

ID článku: 217098 - Poslední aktualizace: 27. února 2007 - Revize: 3.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbmt kbinfo kbnetwork KB217098 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:217098

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com