Panoramica di base del protocollo di autenticazione Kerberos utente in Windows 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 217098 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

Questo articolo viene descritto l'autenticazione utente di Kerberos in Windows 2000.

Si noti che in questioni relative all'autenticazione, Windows 2000 è completamente compatibile. In questo articolo è incentrato sull'autenticazione utente di Kerberos in un ambiente Windows 2000: l'autenticazione tra server Windows 2000 e i client Windows 2000.

Informazioni

Windows 2000 fornisce il supporto per l'autenticazione MIT Kerberos v.5 definito in IETF RFC 1510. Il protocollo Kerberos è composto da tre subprotocols. Il subprotocol in cui il KDC (Key Distribution Center) fornisce il client di una chiave di sessione di accesso e un TGT (ticket di concessione ticket) viene chiamato il servizio di autenticazione (AS) di Exchange. Il subprotocol in cui il KDC distribuisce una chiave di sessione del servizio e un ticket per il servizio viene chiamato il servizio di concessione ticket (TGS) di Exchange. Il subprotocol in cui il client pre-sends il ticket per l'ammissione a un servizio viene chiamato il client/server (CS) di Exchange.

Di seguito vengono un semplice generali della catena di comunicazione coinvolti in una sessione di autenticazione Kerberos, tra una workstation client e un server di risorsa.

  1. L'autenticazione (AS) del servizio Exchange
    1. L'utente A, da una workstation Microsoft Windows 2000 Professional, accede a una rete di Microsoft Windows 2000, digitare il nome utente e password. Il client Kerberos in esecuzione su una workstation Converte la password in una chiave di crittografia e Salva il risultato in una variabile di programma.
    2. Il client Kerberos invia un messaggio per la distribuzione chiavi server (KDC), di tipo KRB_AS_REQ (Kerberos Authentication Server richiesta). Il messaggio contiene due parti:
      • Un'identificazione dell'utente, A e il servizio per il quale utente richiede le credenziali, il TGS (servizio di concessione ticket)
      • Dati preautenticazione, progettata per dimostrare che A conosca la password. Questa è semplicemente un autenticatore crittografato con una chiave master. La chiave master viene generata eseguendo password della tramite un OWF.
    3. Il KDC, alla ricezione di KRB_AS_REQ da A, è l'utente A nel proprio database (Active Directory), ottiene la chiave master, decrittografa i dati di preautenticazione e restituisce il timestamp all'interno. Se il tempo di timbro supera il test, il KDC può essere certi che i dati di preautenticazione sono stati crittografati con una chiave master e non è semplicemente una riproduzione acquisita.
    4. Infine, una volta che il KDC verificato dell'identità, vengono create le credenziali che il programma client su workstation può presentare al servizio di concessione ticket (TGS). Le credenziali vengono create e distribuite come segue in corso...
      • Chiave di una nuova sessione di accesso, crittografato con una chiave master
      • Una seconda copia della chiave di sessione di accesso e il del dati di autorizzazione, in un ticket di concessione ticket (TGT), crittografati con la chiave master del KDC.
      • Successivamente, il KDC invia queste credenziali del client rispondendo con un messaggio di tipo KRB_AS_REP (risposta di autenticazione Kerberos)
      • Quando il client riceve la risposta, decrittografa la chiave di sessione accesso tramite l'applicazione di una chiave master. La chiave di sessione viene quindi memorizzata nella cache dei ticket della workstation client. Il TGT viene estratto dal messaggio e memorizzato in cache nonché
  2. Concessione ticket (TGS) del servizio Exchange
    1. In questa fase, il client Kerberos in esecuzione su una workstation verrà effettivamente richiesta di credenziali per accedere al server di destinazione, l'utente B, inviando un messaggio di tipo KRB_TGS_REQ (concessione ticket servizio richiesta Kerberos), al KDC. Questo messaggio include i componenti seguenti in corso...
      • Identità del servizio di destinazione per il quale il client richiede le credenziali
      • Autenticatore crittografata con chiave di sessione di accesso dell'utente
      • TGT acquisito dall'archivio di AS
    2. Il KDC decrittografa il TGT con la chiave master ed chiave di sessione accesso estrae una. DELLA chiave di sessione di accesso viene utilizzato per autenticatore decrittografare A. Se autenticatore passa del test, il KDC invents una chiave di sessione nuova per condividere con b. Due copie di questa chiave nuova sessione vengono rinviati A in un singolo messaggio crittografato come indicato di seguito
      • Una copia viene crittografata utilizzando una chiave di sessione di accesso
      • La seconda copia viene cifrata utilizzando master chiave del server target, in un ticket unitamente A dati di autorizzazione.
    3. Un decrittografa la sessione del server di destinazione chiave, mediante la chiave di sessione accesso e di memorizzare la chiave di sessione in sua cache, con il ticket del server di destinazione.
  3. Exchange client-server (CS)
    1. DEL client Kerberos è pronto essere autenticati dal server di destinazione, b. Del client invia B un messaggio di tipo KRB_AP_REQ (applicazione Kerberos richiesta). Questo messaggio contiene:
      • Un autenticatore crittografato con la chiave di sessione per B
      • Il ticket per le sessioni con B, crittografata con chiave master del B
      • Un flag che indica se il client richiede l'autenticazione reciproca.
    2. B decrittografa il ticket e chiave di autorizzazione estrae A dati e di sessione. B viene utilizzata la chiave di sessione per autenticatore decrittografare A e restituisce l'indicatore di data e ora. Se l'autenticatore supera il test, B ricerca un flag di autenticazione reciproca. Se è impostato questo flag, B utilizza la chiave di sessione per crittografare il tempo tra dell'autenticatore e restituisce il risultato di A in un messaggio di tipo KRB_AP_REP (risposta applicazione Kerberos)
    3. A decrittografa la risposta con la chiave di sessione. Se l'autenticatore è identico a quello che Mary inviati B, il client è garantito che il server originale e viene eseguita la connessione.

Proprietà

Identificativo articolo: 217098 - Ultima modifica: martedì 27 febbraio 2007 - Revisione: 3.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Chiavi: 
kbmt kbinfo kbnetwork KB217098 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 217098
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com