Base Overview of Kerberos User Authentication Protocol dans Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 217098 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Cet article décrit l'authentification utilisateur Kerberos dans Windows 2000.

Notez que dans les domaines en ce qui concerne l'authentification, Windows 2000 est entièrement rétrocompatible. Cet article se concentre sur l'authentification d'utilisateur Kerberos dans un environnement Windows 2000 : authentification entre les serveurs Windows 2000 et les clients Windows 2000.

Plus d'informations

Windows 2000 prend en charge MIT Kerberos v.5 l'authentification, comme défini dans IETF RFC 1510. Le protocole Kerberos est composé de trois subprotocols. Subprotocol dans lequel le KDC (Key Distribution Center) donne au client une clé de session d'ouverture de session et un ticket d'accord de ticket (TGT) est appelée le service d'authentification (AS) Exchange. Subprotocol dans lequel le KDC distribue une clé de session de service et un ticket pour le service est appelé Exchange Service accord de ticket (TGS). Subprotocol dans lequel le client pre-sends le ticket d'admission à un service est appelé Exchange client/serveur (CS).

Voici une présentation simple de la chaîne de communication impliquée dans une session de l'authentification Kerberos, entre une station de travail cliente et un serveur de ressource.

  1. L'authentification (AS) de Service Exchange
    1. L'utilisateur A, sur une station de travail Microsoft Windows 2000 Professionnel, se connecte à un réseau Microsoft Windows 2000, taper son nom d'utilisateur et mot de passe. Le client Kerberos s'exécutant sur du poste de travail convertit son mot de passe une clé de cryptage et enregistre le résultat dans une variable de programme.
    2. Le client Kerberos envoie un message à la Distribution Server KDC (Key), de type KRB_AS_REQ (Kerberos Authentication Server demande). Ce message compose de deux parties :
      • Une identification de l'utilisateur, A et le service pour lequel elle est demandant des informations d'identification, le TGS (service d'accord de ticket)
      • Données de pré-authentification, destiné à prouver que A connaît son mot de passe. C'est simplement un authentificateur crypté avec le clé principale. La clé principale est générée en exécutant le mot de passe l'a par l'intermédiaire d'une fonction de condensation.
    3. Le KDC, dès réception de KRB_AS_REQ de A, recherche l'utilisateur A dans sa base de données (Active Directory), obtient sa clé principale, décrypte les données de pré-authentification et évalue l'horodatage à l'intérieur. Si le temps de cachet réussit le test, le KDC est assuré que les données de pré-authentification a été cryptées avec une clé principale de l'et n'est pas simplement une relecture capturée.
    4. Enfin, une fois que le KDC a vérifié l'identité, il crée les informations d'identification que le programme client sur son poste de travail peut présenter pour TGS (Ticket Granting Service). Les informations d'identification sont créées et déployées comme suit...
      • Une toute nouvelle ouverture de session de clé, cryptées à l'aide de la clé principale
      • Une deuxième copie de la clé de session d'ouverture de session et les A. données d'autorisation, dans un ticket granting ticket (), crypté avec la clé maître du KDC.
      • Ensuite, le KDC envoie ces informations d'identification au client en répondant par un message de type KRB_AS_REP (réponse d'authentification Kerberos)
      • Lorsque le client reçoit la réponse, il décrypte la clé de session d'ouverture de session par application de le clé principale. La clé de session est alors stockée dans le cache de ticket du poste client. Le TGT est extrait du message du et stocké dans le cache
  2. Ticket-Granting Service (TGS) Exchange
    1. À ce stade, le client Kerberos s'exécutant sur du poste de travail va demander réellement les informations d'identification pour accéder au serveur cible, l'utilisateur B, en envoyant un message de type KRB_TGS_REQ (accord de ticket service requête Kerberos), au KDC. Ce message comprend les composants suivants...
      • Identité du service cible pour lequel le client demande des informations d'identification
      • Authentificateur crypté avec clé de session de l'utilisateur d'ouverture de session
      • TGT acquis à partir de l'échange AS
    2. Le centre de distribution de clés décrypte le TGT avec sa clé principale et la clé de session d'ouverture de session d'extraits A. L'ouverture de session clé de session est utilisé pour l'authentificateur de déchiffrer A. Si authentificateur passes le l'essai, le KDC invente une nouvelle clé de session pour A à partager avec b. Deux copies de cette nouvelle clé de session sont renvoyés à A dans un seul message crypté comme suit
      • Une seule copie est cryptée à l'aide de l'ouverture de session la clé de session
      • La seconde copie est cryptée à l'aide de la clé de maître du serveur cible, dans un ticket avec de données d'autorisation.
    3. Un décrypte la session du serveur cible à l'aide de sa clé de session d'ouverture de session, de la clé et stocke la clé de session dans son cache, ainsi que le ticket du serveur cible.
  3. Exchange client-serveur (CS)
    1. A. client Kerberos est maintenant prêt à être authentifié par le serveur de la cible b. A du client envoie B un message de type KRB_AP_REQ (Kerberos Application Request). Ce message contient :
      • Un authentificateur crypté avec la clé de session pour B
      • Le ticket pour les sessions avec B, chiffrées à l'aide masque clé de B
      • Indicateur signalant si le client demande l'authentification mutuelle.
    2. B décrypte le ticket et clé de session et de données A extraits d'autorisation. B utilise la clé de session à l'authentificateur de déchiffrer A et évalue l'horodatage. Si le responsable de l'authentification réussit le test, B recherche un indicateur de l'authentification mutuelle. Si cet indicateur est défini, B utilise la clé de session pour crypter l'heure de A de l'authentificateur et renvoie le résultat à A dans un message de type KRB_AP_REP (réponse d'application Kerberos)
    3. A décrypte la réponse à l'aide de la clé de session. Si l'authentificateur est identique à celui qu'elle envoyés B, le client est assuré que le serveur est authentique et la connexion se poursuit.

Propriétés

Numéro d'article: 217098 - Dernière mise à jour: mardi 27 février 2007 - Version: 3.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows 2000 Datacenter Server
Mots-clés : 
kbmt kbinfo kbnetwork KB217098 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 217098
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com