Βασική επισκόπηση του πρωτοκόλλου ελέγχου ταυτότητας Kerberos χρήστη στα Windows 2000

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 217098 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Αυτό το άρθρο περιγράφει τον έλεγχο ταυτότητας Kerberos χρήστη στα Windows 2000.

Σημειώστε ότι σε ζητήματα σχετικά με τον έλεγχο ταυτότητας, είναι τελείως προς τα πίσω συμβατό με τα Windows 2000. Αυτό το άρθρο επικεντρώνεται στο Kerberos σε έλεγχο ταυτότητας χρήστη σε περιβάλλον Windows 2000 αμιγώς: ελέγχου ταυτότητας μεταξύ διακομιστών των Windows 2000 και τα προγράμματα-πελάτες των Windows 2000.

Περισσότερες πληροφορίες

Τα Windows 2000 παρέχουν υποστήριξη για έλεγχο ταυτότητας v.5 MIT Kerberos, όπως ορίζεται στο IETF RFC 1510. Το πρωτόκολλο Kerberos αποτελείται από τρία subprotocols. Το subprotocol όπου το KDC (κέντρο διανομής κλειδιών) δίνει στο πρόγραμμα-πελάτη, ένα κλειδί περιόδου λειτουργίας σύνδεσης και ένα TGT (Ticket εκχώρησης δελτίου) ονομάζεται το Exchange υπηρεσία ελέγχου ταυτότητας (AS). Το subprotocol που διανέμει το KDC ένα κλειδί περιόδου λειτουργίας της υπηρεσίας και ένα δελτίο για την υπηρεσία ονομάζεται το Exchange εκχώρησης δελτίου υπηρεσίας (TGS). Το subprotocol όπου ο υπολογιστής-πελάτης pre-sends το εισιτήριο για αποδοχής σε μια υπηρεσία ονομάζεται το πρόγραμμα-πελάτης/διακομιστής (CS) του Exchange.

Ακολουθεί μια απλή επισκόπηση της αλυσίδας επικοινωνίας που εμπλέκονται σε μια περίοδο λειτουργίας ελέγχου ταυτότητας Kerberos, ανάμεσα σε ένα σταθμό εργασίας του υπολογιστή-πελάτη και ενός διακομιστή του πόρου.

  1. Έλεγχος ταυτότητας Exchange Service (AS)
    1. Ο χρήστης Α, σε έναν σταθμό εργασίας Microsoft Windows 2000 Professional, συνδέεται σε ένα δίκτυο Microsoft Windows 2000, πληκτρολόγηση του ονόματος χρήστη και κωδικού πρόσβασης. Το πρόγραμμα-πελάτης Kerberos λειτουργεί με του σταθμού εργασίας μετατρέπει του κωδικού πρόσβασης σε ένα κλειδί κρυπτογράφησης και αποθηκεύει το αποτέλεσμα σε μια μεταβλητή του προγράμματος.
    2. Το πρόγραμμα-πελάτης Kerberos αποστέλλει ένα μήνυμα για να το διανομής κλειδιών Server (KDC), του τύπου KRB_AS_REQ (πρωτόκολλο Kerberos Authentication Server αίτηση). Αυτό το μήνυμα έχει δύο μέρη:
      • Ένα αναγνωριστικό του χρήστη, Α, και την υπηρεσία για την οποία αυτή ζητά διαπιστευτήρια, τα TGS (υπηρεσία εκχώρησης δελτίου)
      • Σκοπός προελέγχου ταυτότητας δεδομένων, να αποδείξει ότι Α γνωρίζει τον κωδικό πρόσβασης του. Αυτό είναι απλά μια υπηρεσία ελέγχου ταυτότητας κρυπτογραφημένα με του πρωτεύοντος κλειδιού. Το κύριο κλειδί δημιουργείται με την εκτέλεση του κωδικού πρόσβασης μέσω ενός OWF.
    3. Το KDC κατά την παραλαβή των KRB_AS_REQ από το A, αναζητά ο χρήστης A στη βάση δεδομένων του (η υπηρεσία καταλόγου Active Directory), λαμβάνει το πρωτεύον κλειδί, αποκρυπτογραφεί τα δεδομένα προελέγχου ταυτότητας και αξιολογεί τη χρονική σήμανση μέσα. Εάν η χρονική σφραγίδα μεταβιβάζει τον έλεγχο το KDC μπορεί να βεβαιωθούν ότι τα δεδομένα προελέγχου ταυτότητας κρυπτογραφήθηκε με το A του πρωτεύοντος κλειδιού και δεν είναι απλώς μια καταγραμμένη επανάληψης.
    4. Τέλος, από τη στιγμή που το KDC έχει επαληθεύσει του ταυτότητα, θα δημιουργήσει πιστοποιήσεις που το πρόγραμμα-πελάτης στο σταθμό εργασίας του/της μπορεί να παρουσιάσει με το εισιτήριο εκχώρησης τ/Υ (TGS). Τα διαπιστευτήρια που δημιουργούνται και αναπτύσσεται ως εξής...
      • Μια περίοδο σύνδεσης νέο κλειδί, κρυπτογραφούνται με του κύριου κλειδιού
      • Ένα δεύτερο αντίγραφο του κλειδιού περιόδου λειτουργίας σύνδεσης και του ελέγχου ταυτότητας δεδομένων, σε ένα εισιτήριο εκχώρησης δελτίου (TGT), κρυπτογραφούνται με το πρωτεύον κλειδί του KDC.
      • Στη συνέχεια, το KDC επιστρέφει αυτές τις πιστοποιήσεις του υπολογιστή-πελάτη κατά την απάντηση σε ένα μήνυμα του τύπου KRB_AS_REP (απόκριση ελέγχου ταυτότητας Kerberos)
      • Όταν ο υπολογιστής-πελάτης λαμβάνει την απάντηση, την αποκρυπτογραφεί το κλειδί περιόδου λειτουργίας σύνδεσης μέσω της εφαρμογής του του πρωτεύοντος κλειδιού. Το κλειδί περιόδου λειτουργίας, στη συνέχεια, είναι αποθηκευμένο στη μνήμη cache του δελτίου του σταθμού εργασίας υπολογιστή-πελάτη. Το TGT είναι που έχει εξαχθεί από το μήνυμα και είναι αποθηκευμένες στη μνήμη cache καθώς και
  2. Δελτίο εκχώρησης Exchange Service (TGS)
    1. Σε αυτό το στάδιο, το πρόγραμμα-πελάτης Kerberos λειτουργεί με του σταθμού εργασίας πρόκειται να ζητήσετε πραγματικά διαπιστευτήρια για πρόσβαση στο διακομιστή προορισμού, ο χρήστης B, στέλνοντας ένα μήνυμα τύπου KRB_TGS_REQ (πρωτόκολλο Kerberos εκχώρησης δελτίου υπηρεσίας αίτηση), με το KDC. Το μήνυμα αυτό αποτελείται από τα ακόλουθα στοιχεία...
      • Identity of the target service for which the client is requesting credentials
      • Authenticator encrypted with the user's logon session key
      • TGT acquired from the AS Exchange
    2. The KDC decrypts the TGT with its master key, and extracts A's logon session key. A's logon session key is used to decrypt A's authenticator. If A's authenticator passes the test, the KDC invents a new session key for A to share with B. Two copies of this new session key are sent back to A in a single message, encrypted as follows..
      • One copy is encrypted using A's logon session key
      • The second copy is encrypted using the target server's master key, in a ticket along with A's authorization data.
    3. A decrypts the target server session key, using her logon session key, and stores the session key in her cache, along with the target server ticket.
  3. Client-Server (CS) Exchange
    1. A's Kerberos client is now ready to be authenticated by the target server, B. A's client sends B a message of type KRB_AP_REQ (Kerberos Application Request). This message contains:
      • An authenticator encrypted with the session key for B
      • The ticket for sessions with B, encrypted with B's master key
      • A flag indicating whether the client requests mutual authentication.
    2. B decrypts the ticket, and extracts A's authorization data and session key. B uses the session key to decrypt A's authenticator, and evaluates the time stamp. If the authenticator passes the test, B looks for a mutual authentication flag. If this flag is set, B uses the session key to encrypt the time from A's authenticator, and returns the result to A in a message of type KRB_AP_REP (Kerberos Application Reply)
    3. A decrypts the reply with the session key. If the authenticator is identical to the one that she sent B, the client is assured that the server is genuine, and the connection proceeds.

Ιδιότητες

Αναγν. άρθρου: 217098 - Τελευταία αναθεώρηση: Κυριακή, 19 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Λέξεις-κλειδιά: 
kbinfo kbnetwork kbmt KB217098 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:217098

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com