Descrição geral básica do protocolo de autenticação Kerberos utilizador no Windows 2000

Traduções de Artigos Traduções de Artigos
Artigo: 217098 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sumário

Este artigo descreve a autenticação Kerberos utilizador no Windows 2000.

Note que assuntos sobre autenticação, Windows 2000 está completamente retro compatível. Este artigo foca a autenticação de utilizador de Kerberos num ambiente puro Windows 2000: autenticação entre servidores do Windows 2000 e clientes do Windows 2000.

Mais Informação

Windows 2000 fornece suporte para autenticação de v.5 MIT Kerberos, tal como definido no IETF RFC 1510. O protocolo Kerberos é composto por três subprotocols. Subprotocol na qual o KDC (Centro de distribuição de chaves) fornece ao cliente uma chave de sessão de início de sessão e uma TGT (permissão conceder permissão) chama-se o serviço de autenticação (AS) do Exchange. Subprotocol na qual o KDC, Key Distribution Center distribui uma chave de sessão do serviço e uma permissão para o serviço é designado por Exchange conceder permissão de serviço (TGS). Subprotocol na qual o cliente pre-sends a permissão para admissão a um serviço denomina-se o cliente/servidor (CS) do Exchange.

Segue-se uma descrição geral simples da cadeia de comunicação envolvida numa sessão de autenticação Kerberos, entre uma estação de trabalho cliente e um servidor de recursos.

  1. Exchange Service (SA) de autenticação
    1. Utilizador A, numa estação de trabalho Microsoft Windows 2000 Professional, inicia sessão numa rede do Microsoft Windows 2000, escrevendo o nome de utilizador e palavra-passe. O cliente Kerberos em execução do estação de trabalho converte a sua palavra-passe para uma chave de encriptação e guarda o resultado numa variável de programa.
    2. O cliente Kerberos envia uma mensagem para a distribuição de chaves Server KDC, Key Distribution (Center), do tipo KRB_AS_REQ (Kerberos Authentication Server pedido). Esta mensagem tem duas partes:
      • Uma identificação do utilizador, A e o serviço para o qual ela está a pedir credenciais, o TGS (conceder permissão de serviço)
      • Dados pré-autenticação, concebido para provar A conhece a palavra-passe. Este é simplesmente um autenticador encriptado com do PFS. A chave principal é gerada com palavra-passe do através de um OWF.
    3. O KDC face ao recebimento de KRB_AS_REQ de A procura até o utilizador A na respectiva base de dados (o Active Directory), obtém a chave principal, desencripta dados pré-autenticação e avalia o carimbo de data dentro. Se a hora carimbo passa o teste, o KDC, Key Distribution Center garantia que os dados pré-autenticação foi encriptados com A da chave principal e não apenas uma reprodução capturada.
    4. Finalmente, quando o KDC, Key Distribution Center verificou do identidade, irá criar credenciais que o programa de cliente na sua estação de trabalho pode apresentar a permissão conceder Service (TGS). As credenciais são criadas e implementação da seguinte forma...
      • Um novo início de sessão de teclas, encriptados com do PFS
      • Uma segunda cópia da chave de sessão de início de sessão e do dados de autorização, numa permissão conceder permissão (TGT), encriptada com a chave de mestre do KDC.
      • Em seguida, o KDC, Key Distribution Center envia estas credenciais volta ao cliente ao responder com uma mensagem do tipo KRB_AS_REP (resposta de autenticação Kerberos)
      • Quando o cliente recebe a resposta, desencripta a chave de sessão início de sessão através da aplicação do PFS. A chave de sessão, em seguida, é armazenada na cache de permissão da estação de trabalho cliente. A TGT é extraída da mensagem e guardada na cache bem
  2. Exchange de conceder permissão de serviço (TGS)
    1. Nesta fase, o cliente Kerberos em execução do estação de trabalho for realmente pedir credenciais para aceder ao servidor de destino, o utilizador B, enviando uma mensagem do tipo KRB_TGS_REQ (Kerberos conceder permissão de pedido de serviço), para o KDC. Esta mensagem é composta pelos seguintes componentes...
      • Identidade do serviço de destino para o qual o cliente está a pedir credenciais
      • Autenticador encriptado com chave de sessão de início de sessão do utilizador
      • TGT adquirida o Exchange como
    2. O KDC, Key Distribution Center desencripta a TGT com a chave principal e chave de sessão extractos de início de sessão. DO início de sessão chave de sessão é utilizada para autenticador desencriptar A. Se autenticador passa do teste, o KDC, Key Distribution Center invents uma chave nova sessão para A partilhar com B. Duas cópias desta chave nova sessão são enviadas novamente A numa única mensagem encriptada de maneira
      • Uma cópia está encriptada com A chave de sessão de início de sessão
      • A segunda cópia está encriptada com chave de modelo global do servidor de destino, de uma permissão juntamente com do dados de autorização.
    3. Um a sessão de servidor de destino decrypts chave, utilizando a chave de sessão início de sessão e armazena a chave de sessão na respectiva cache, juntamente com a permissão do servidor de destino.
  3. Exchange Server de cliente (CS)
    1. De um cliente Kerberos está pronto ser autenticados pelo servidor de destino, B. A cliente envia B uma mensagem do tipo KRB_AP_REQ (pedido de aplicação de Kerberos). Esta mensagem contém:
      • Um autenticador encriptado com a chave de sessão para B
      • A permissão para sessões com B, encriptados com PFS B
      • Um sinalizador que indica se o cliente pede autenticação mútua.
    2. B desencripta a permissão e autorização de dados e de sessão chave extractos A. B utiliza a chave de sessão para autenticador desencriptar A e avalia o carimbo de data/hora. Se o autenticador passa o teste, B procurará um sinalizador de autenticação mútua. Se este sinalizador estiver definido, B utiliza a chave de sessão para encriptar a hora a partir de um é o autenticador e devolve o resultado para A numa mensagem do tipo KRB_AP_REP (responder de aplicação de Kerberos)
    3. A desencripta a resposta com a chave de sessão. Se o autenticador que she idêntico ao envio B, o cliente é garantia de que o servidor é genuíno e continua a ligação.

Propriedades

Artigo: 217098 - Última revisão: 27 de fevereiro de 2007 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palavras-chave: 
kbmt kbinfo kbnetwork KB217098 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 217098

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com