Visão geral básica do protocolo de autenticação Kerberos de usuário no Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 217098 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

Este artigo descreve a autenticação de usuário do Kerberos no Windows 2000.

Observe que, em assuntos sobre autenticação, Windows 2000 é totalmente compatível. Este artigo enfoca a autenticação do usuário Kerberos em um ambiente puro do Windows 2000: autenticação entre servidores Windows 2000 e clientes do Windows 2000.

Mais Informações

Windows 2000 fornece suporte para autenticação de v.5 MIT Kerberos, conforme definido na IETF RFC 1510. O protocolo Kerberos é composto de três subprotocols. Subprotocol em que o KDC (Centro de distribuição de chaves) dá ao cliente uma chave de sessão de logon e uma TGT (permissão de concessão de permissão) é chamado do serviço de autenticação (AS) do Exchange. Subprotocol em que o KDC distribui uma chave de sessão de serviço e uma permissão para o serviço é chamado do serviço de concessão de tíquete (TGS) do Exchange. Subprotocol no qual o cliente pre-sends a permissão para admissão para um serviço é chamado do cliente/servidor (CS) do Exchange.

A seguir está uma visão geral simples de cadeia de comunicação envolvida em uma sessão de autenticação Kerberos, entre uma estação de trabalho cliente e um servidor de recurso.

  1. Autenticação (AS) do serviço Exchange
    1. O usuário A, em uma estação de trabalho Microsoft Windows 2000 Professional, faz logon em uma rede Microsoft Windows 2000, digitando seu nome de usuário e senha. O cliente Kerberos em execução da estação de trabalho converte sua senha em uma chave de criptografia e salva o resultado em uma variável de programa.
    2. O cliente Kerberos envia uma mensagem para a distribuição de chaves Server (KDC), do tipo KRB_AS_REQ (Kerberos Authentication Server solicitação). Esta mensagem tem duas partes:
      • Uma identificação do usuário, A e o serviço para o qual ela está solicitando credenciais, o TGS (serviço de concessão)
      • Dados pré-autenticação, o objetivo de provar A sabe sua senha. Isso é simplesmente um autenticador criptografado com do chave mestre. A chave mestre é gerada pela execução senha por meio de um OWF.
    3. O KDC no recebimento de KRB_AS_REQ de A, procura o usuário A no seu banco de dados (o Active Directory), obtém sua chave mestre, descriptografa os dados pré-autenticação e avalia o carimbo de hora dentro. Se o tempo de carimbo de data / passa o teste, o KDC poderá ter certeza que os dados pré-autenticação foi criptografados com A chave mestre e não é simplesmente um replay capturado.
    4. Finalmente, depois que o KDC verificou da identidade, ele criará as credenciais que o programa cliente na sua estação de trabalho pode apresentar para o serviço de concessão de permissão (TGS). As credenciais são criadas e implantadas como a seguir...
      • Uma nova sessão de logon de chave, criptografada com do chave mestre
      • Uma segunda cópia da chave de sessão de logon e do dados de autorização, em um permissão (TGT concessão), criptografados com a chave de mestre do KDC.
      • Em seguida, o KDC envia essas credenciais novamente para o cliente respondendo com uma mensagem do tipo KRB_AS_REP (resposta de autenticação Kerberos)
      • Quando o cliente recebe a resposta, ele descriptografa a chave de sessão logon pela aplicação do chave mestre. A chave de sessão, em seguida, é armazenada no cache de permissão da estação de trabalho cliente. O TGT é extraído da mensagem e armazenado no cache, bem
  2. Concessão de tíquete (TGS) do serviço Exchange
    1. Neste estágio, o cliente Kerberos em execução da estação de trabalho será realmente solicitar credenciais para acessar o servidor de destino, o usuário B, enviando uma mensagem do tipo KRB_TGS_REQ (Kerberos concessão solicitação de serviço), para o KDC. Esta mensagem consiste nos seguintes componentes...
      • Identidade do serviço de destino para o qual o cliente está solicitando credenciais
      • Autenticador criptografado com chave de sessão de logon do usuário
      • TGT adquirido do Exchange como
    2. O KDC descriptografa o TGT com sua chave mestre e chave de sessão extrai de logon. Chave de sessão de logon do é usada para autenticador descriptografar um. Se autenticador passa um o teste, o KDC inventa uma chave de sessão novo para A para compartilhar com B. Duas cópias dessa nova chave de sessão são enviadas volta para A em uma única mensagem, criptografada da seguinte maneira
      • Uma cópia é criptografada usando da chave de sessão de logon
      • A segunda cópia é criptografada usando chave mestre do servidor de destino em um tíquete junto com do dados de autorização.
    3. Um decrypts a sessão de servidor de destino chave, usando sua chave de sessão de logon e armazena a chave de sessão em seu cache, juntamente com a permissão do servidor de destino.
  3. Exchange cliente-servidor (CS)
    1. UM cliente Kerberos está pronto ser autenticada por servidor de destino, B. A é cliente envia B uma mensagem do tipo KRB_AP_REQ (solicitação de aplicativo Kerberos). Esta mensagem contém:
      • Um autenticador criptografado com a chave de sessão para B
      • A permissão para sessões com B, criptografado com chave de mestre do B
      • Um sinalizador indicando se o cliente solicita autenticação mútua.
    2. B descriptografa o tíquete e autorização dados e sessão chave extrai de. B usa a chave de sessão para autenticador descriptografar um e avalia o carimbo de data / hora. Se o autenticador passar o teste, o B procura um sinalizador de autenticação mútua. Se este sinalizador estiver definido, B usa a chave de sessão para criptografar o tempo de A é o autenticador e retorna o resultado para A em uma mensagem do tipo KRB_AP_REP (resposta de aplicativos de Kerberos)
    3. A descriptografa a resposta com a chave de sessão. Se o autenticador é idêntico ao que que she enviada B, o cliente é garantido que o servidor é autêntico e continua a conexão.

Propriedades

ID do artigo: 217098 - Última revisão: terça-feira, 27 de fevereiro de 2007 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbinfo kbnetwork KB217098 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 217098

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com