기본 Windows 2000의 Kerberos 사용자 인증 프로토콜 개요

기술 자료: 217098 - 이 문서가 적용되는 제품 보기.

기계 번역 고지 사항 보기

기계 번역된 문서와 영문 원본 문서 나란히 보기

모두 확대 | 모두 축소

요약

이 문서에서는 Windows 2000의 Kerberos 사용자 인증에 대해 설명합니다.

Windows 2000 인증 관련 문제가 있는 완전히 이전 버전과의 호환 가능한지를 유의하십시오. 이 문서에서는 Kerberos 사용자 인증을 순수 Windows 2000 환경에서 중점적으로: Windows 2000 클라이언트가 Windows 2000 서버 간의 인증.

추가 정보

Windows 2000 지원을 IETF RFC 1510에 정의된 대로 MIT Kerberos v.5 인증을 제공합니다. Kerberos 프로토콜 중 세 가지 subprotocols가 구성됩니다. 로그온 세션 키 및 TGT (티켓 부여 티켓) KDC (키 배포 센터) 클라이언트가 제공하는 subprotocol AS (인증 서비스) Exchange가 호출됩니다. KDC 서비스가 세션 키 및 서비스에 대한 티켓을 배포하는 subprotocol 티켓 부여 서비스 (TGS) Exchange가 호출됩니다. 클라이언트/서버 (CS) Exchange 클라이언트 서비스에 허용 티켓 pre-sends subprotocol이 호출됩니다.

다음 클라이언트 워크스테이션과 리소스 서버 간의 Kerberos 인증 세션 관련된 통신 체인 간단한 개요입니다.

인증 서비스 (AS) Exchange
1. 사용자, Microsoft Windows 2000 Professional 워크스테이션에서 자신의 사용자 이름과 암호를 입력하면 Microsoft Windows 2000 네트워크에 로그온합니다. Kerberos 클라이언트 A에 실행하는 워크스테이션 암호화 키 암호를 변환하고 결과를 프로그램 변수에 저장합니다.
2. Kerberos 클라이언트가 해당 메일 서버 KDC (키) 로, KRB_AS_REQ (Kerberos 인증 서버 요청) 형식의 메시지를 보냅니다. 이 메시지는 두 부분으로 구성됩니다.
  - A, 사용자 및 사용 그녀는 TGS 티켓 부여 서비스 자격 증명을 요청하는 서비스 식별
  - 사전 인증 데이터를 위한 A 자신의 암호를 알고 있음을 증명합니다. 이것은 A로 암호화되어 있는 인증자 단순히 마스터 키. 마스터 키 실행하여 생성된 있는 OWF 통해 A의 암호를.
3. A, 해당 데이터베이스 (Active Directory) 에서 사용자 A가 위로 모양 KRB_AS_REQ 받았을 KDC 자신의 마스터 키를 가져옵니다 사전 인증 데이터를 해독하고 안에 시간 스탬프를 평가합니다. 마스터 키의 A 사전 인증 데이터를 암호화한 시간 스탬프, 테스트를 통과하는 KDC 보장할 수 있습니다 경우와 캡처된 재생 단순히 아닙니다.
4. 마지막으로, KDC A의 확인한 후에는 ID를 자신의 워크스테이션에 클라이언트 프로그램을 티켓 부여 서비스 (TGS 수) 제공할 수 있는 자격 증명을 만들어집니다. 자격 증명은 만들어 같이 배포한...
  - 새 로그온 세션 키, A로 암호화된 마스터 키
  - 로그온 세션 키 및 A의 두 번째 복사본을 의 티켓 부여 티켓 (KDC 직접 마스터 키로 암호화된 TGT를), 권한 부여 데이터.
  - 그런 다음, KDC 이러한 자격 증명을 클라이언트에 KRB_AS_REP (Kerberos 인증 응답) 형식의 메시지로 회신 보냅니다.
  - 클라이언트가 응답을 받으면 A의 응용 프로그램을 통해 로그온 세션 키의 암호를 해독합니다 마스터 키. 그런 다음 세션 키는 클라이언트 워크스테이션의 티켓 캐시에 저장됩니다. TGT은 메시지에서 추출하고 해당 캐시에 저장된
티켓 부여 서비스 (TGS) Exchange
1. 이 단계에서 Kerberos 클라이언트 A에 실행하는 워크스테이션 사용하려는 KDC로 실제로 KRB_TGS_REQ (Kerberos 티켓 부여 서비스 요청), 형식의 메시지를 보내 사용자 B가, 대상 서버에 액세스하려면 자격 증명을 요청합니다. 이 메시지는 해당 구성 요소는...
  - 클라이언트가 자격 증명을 요청하는 대상 서비스 ID
  - 사용자의 로그온 세션 키를 사용하여 암호화된 인증자
  - AS Exchange에서 얻은 TGT
2. KDC 해당 마스터 키와 추출합니다 A의 로그온 세션 키를 사용하여 TGT를 해독합니다. A의 로그온 세션 키 해독 A의 인증자 사용됩니다. 경우 A의 인증자 패스 A B의 함께 공유할 것에 대한 새 세션 키가 KDC 테스트 invents 이 새 세션 키 복사본 두 A에 다음과 같은 암호화된 단일 메시지 다시 보내는
  - 한 부씩 A의 사용하여 암호화된 로그온 세션 키
  - 두 번째 복사본은 티켓의 A의 함께 대상 서버가 마스터 키를 사용하여 암호화된 인증 데이터를.
3. decrypts 대상 서버 세션 키, 자신의 로그온 세션 키를 사용하여, 세션 키를 자신의 캐시에서 대상 서버 티켓 저장합니다.
클라이언트-서버 (CS) Exchange
1. A의 Kerberos 클라이언트가 이제 B에서 대상 서버에 의해 인증될 수 있습니다. A 클라이언트 B KRB_AP_REQ (Kerberos 응용 프로그램 요청) 형식의 메시지를 보내는 것입니다. 이 메시지에 들어 있습니다.
  - 곡선의 세션 키를 사용하여 암호화된 인증자
  - B B의 마스터 키로 암호화된 세션 티켓
  - 클라이언트가 상호 인증을 요청하는 여부를 나타내는 플래그.
2. B 티켓과 추출합니다 A의 권한 부여 데이터 및 세션 키의 암호를 해독합니다. 세션 키 해독 A의 인증자 데 사용하는 B와 타임스탬프를 평가합니다. 인증자 테스트를 통과하는 경우, B 상호 인증 플래그를 찾습니다. 이 플래그가 설정되어 있으면 B 세션 키를 A 에서 시간 암호화하는 데 사용하는 인증자, 기능 및 A-KRB_AP_REP (Kerberos 응용 프로그램 회신) 형식의 메시지에 결과를 반환합니다.
3. A 회신 세션 키를 사용하여 해독합니다. 인증자 경우 동일한 해당 그녀는 B, 서버 정품인 클라이언트가 보장할 보내고 연결이 진행됩니다.

속성

기술 자료: 217098 - 마지막 검토: 2007년 2월 27일 화요일 - 수정: 3.2

본 문서의 정보는 다음의 제품에 적용됩니다.

Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Datacenter Server

kbmt kbinfo kbnetwork KB217098 KbMtko

기계 번역된 문서

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

이 문서의 영문 버전 보기.