Información general básica de protocolo de autenticación de usuario de Kerberos en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 217098 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

Este artículo describe la autenticación de usuario de Kerberos en Windows 2000.

Observe que en cuestiones de autenticación, Windows 2000 es totalmente compatible. En este artículo se centra en la autenticación de usuario de Kerberos en un entorno puro de Windows 2000: autenticación entre servidores de Windows 2000 y clientes de Windows 2000.

Más información

Windows 2000 proporciona compatibilidad para autenticación de MIT Kerberos v.5, como se define en RFC 1510 de IETF. El protocolo Kerberos se compone de tres subprotocols. El subprotocol el KDC (Centro de distribución de claves) da al cliente una clave de sesión de inicio de sesión y un TGT (vale de concesión de vales) se denomina el servicio de autenticación (AS) de Exchange. Subprotocol en que el KDC distribuye una clave de sesión de servicio y un vale para el servicio se denomina el servicio de concesión de vales (TGS) de Exchange. El subprotocol en el que el cliente pre-sends el vale de admisión a un servicio se denomina el servidor/cliente (CS) de Exchange.

El siguiente es una simple introducción de la cadena de comunicación implicada en una sesión de autenticación Kerberos, entre una estación de trabajo cliente y un servidor de recursos.

  1. Autenticación (AS) del servicio Exchange
    1. Usuario, en una estación de trabajo de Microsoft Windows 2000 Professional, inicia sesión en una red de Microsoft Windows 2000 escribiendo su nombre de usuario y la contraseña. El cliente de Kerberos que se ejecuta en la estación de trabajo convierte su contraseña en una clave de cifrado y guarda el resultado en una variable de programa.
    2. El cliente de Kerberos envía un mensaje para el distribución de claves servidor (KDC), de tipo KRB_AS_REQ (Kerberos solicitud de servidor de autenticación). Este mensaje tiene dos partes:
      • Una identificación del usuario, A y el servicio para el que solicita las credenciales, el TGS (servicio de concesión de vales)
      • Datos de autenticación previa, pretende demostrar que A sabe su contraseña. Esto es simplemente un autenticador cifrado con la clave principal. La clave principal se generó al ejecutar contraseña la a través de un OWF.
    3. El KDC, tras la recepción de KRB_AS_REQ de A, busca el usuario A en su base de datos (Active Directory), obtiene su clave principal, descifra los datos de autenticación previa y evalúa la marca de tiempo dentro. Si la hora de marca pasa la prueba, el KDC puede estar seguro que se cifran los datos de autenticación previa con una clave principal y no es simplemente una reproducción capturada.
    4. Por último, una vez que el KDC ha comprobado la identidad, creará las credenciales que el programa de cliente en su estación de trabajo puede presentar a vale de concesión Service (TGS). Se crean las credenciales y se implementa de manera...
      • Un inicio de sesión nueva clave, cifrada con la clave principal
      • Una segunda copia de la clave de sesión de inicio de sesión y la datos de autorización, en un lista concesión de vales (TGT), cifrada con la clave de maestra de KDC.
      • A continuación, el KDC envía estas credenciales al cliente respondiendo con un mensaje de tipo KRB_AS_REP (respuesta de autenticación de Kerberos)
      • Cuando el cliente recibe la respuesta, descifra la clave de sesión de inicio a través de la aplicación de la clave principal. La clave de sesión a continuación, se almacena en caché de la estación de trabajo cliente vale. El TGT es extrae el mensaje y almacena en la caché así
  2. Concesión de vales (TGS) del servicio Exchange
    1. En esta fase, el cliente de Kerberos que se ejecuta en la estación de trabajo se va a realmente solicitar credenciales para tener acceso el servidor de destino, el usuario B, enviando un mensaje de tipo KRB_TGS_REQ (concesión de vales solicitud del servicio Kerberos), en el KDC. Este mensaje consta de los componentes siguientes...
      • Identidad del servicio de destino para el que el cliente solicita credenciales
      • Autenticador cifrada con clave de sesión de inicio de sesión del usuario
      • TGT obtenido a partir del AS de Exchange
    2. El KDC descifra el TGT con su clave principal y clave de sesión del extrae un inicio de sesión. DEL inicio de sesión de clave de sesión se utiliza para autenticador del descifrar una. Si autenticador pasa de la prueba, el KDC invents una clave de sesión nuevo para A compartir con B. Dos copias de esta clave de sesión nuevo se envían al en un único mensaje cifrado como sigue
      • Una copia se cifra con la clave de sesión de inicio de sesión
      • La segunda copia se cifra con clave de maestro del servidor de destino, en un vale junto con la datos de autorización.
    3. Un decrypts la sesión de servidor de destino clave, con su clave de sesión de inicio de sesión y almacena la clave de sesión en su caché, junto con el vale del servidor de destino.
  3. Servidor de cliente (CS) de Exchange
    1. De un cliente de Kerberos ahora está listo para ser autenticado por el servidor de destino, B. A es cliente envía B un mensaje de tipo KRB_AP_REQ (solicitud de aplicación de Kerberos). Este mensaje contiene:
      • Un autenticador cifrado con la clave de sesión para B
      • El vale para las sesiones con B, cifrada con maestro de clave del B
      • Indicador que indica si el cliente solicita la autenticación mutua.
    2. B descifra el vale y extrae del autorización datos y sesión tecla. B utiliza la clave de sesión para autenticador del descifrar una y evalúa la marca de tiempo. Si el autenticador pasa la prueba, B busca un indicador de la autenticación mutua. Si se establece este indicador, B utiliza la clave de sesión para cifrar el tiempo de A es el autenticador y devuelve el resultado a en un mensaje de tipo KRB_AP_REP (respuesta de aplicación de Kerberos)
    3. A descifra la respuesta con la clave de sesión. Si el autenticador es idéntico al que su había enviado B, el cliente se asegura de que el servidor original y continúa la conexión.

Propiedades

Id. de artículo: 217098 - Última revisión: martes, 27 de febrero de 2007 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbmt kbinfo kbnetwork KB217098 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 217098

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com