Обзор протокола проверки подлинности Kerberos пользователя в Windows 2000

Переводы статьи Переводы статьи
Код статьи: 217098 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

В данной статье описывается Kerberos для проверки подлинности пользователей в Windows 2000.

Обратите внимание, что в отношении проверки подлинности: вопросы и ответы, Windows 2000 обладает полной обратной совместимостью. В данной статье основное внимание уделяется проверке подлинности Kerberos пользователя в однородной среде Windows 2000: проверка подлинности между серверами Windows 2000 и Windows 2000 клиентов.

Дополнительная информация

Windows 2000 обеспечивает поддержку проверки подлинности в.5 MIT Kerberos, как определено в IETF RFC 1510. Протокол Kerberos, состоит из трех subprotocols. Subprotocol, в котором KDC (центр распределения ключей) предоставляет клиенту ключа сеанса входа в систему и билет TGT (билет предоставления билета) называется Exchange службы проверки подлинности (AS). Subprotocol, в котором KDC распространяет обновления ключа сеанса и билет службы, называется Exchange службы предоставления билетов (TGS). Subprotocol, в котором клиент pre-sends билет для допуска к службе, называется Exchange клиент сервер (CS).

Ниже приведен простой Обзор цепочке взаимодействия, участвующих в сеанс проверки подлинности Kerberos между клиентской рабочей станцией и сервером ресурсов.

  1. Проверка подлинности (AS) службы Exchange
    1. A на рабочей станции Microsoft Windows 2000 Professional, входе в сеть Microsoft Windows 2000, введя свое имя пользователя и пароль. Клиент Kerberos, А на рабочей станции преобразует свой пароль для ключа шифрования и сохраняет результат в переменную программы.
    2. Клиент Kerberos отправляет сообщение для распространения ключей сервера (KDC), тип KRB_AS_REQ (Kerberos серверу запрос проверки подлинности). Это сообщение состоит из двух частей:
      • Идентификация пользователя a и службы, для которой она запрашивает учетные данные, TGS (служба TGS)
      • Предварительной проверки подлинности данных должно доказать, что a знает свой пароль. Это просто средством проверки подлинности, зашифрованные с помощью a главный ключ. Главный ключ создается путем запуска a пароль с помощью параметров OWF.
    3. KDC, при получении KRB_AS_REQ с A, ищет пользователь a в своей базе данных (Active Directory), получает свой главный ключ, расшифровывает данные предварительной проверки подлинности и оценивает штамп времени внутри. Если время штамп прошел проверку, KDC можно быть уверенным, предварительной проверки подлинности данные были зашифрованы с A-главный ключ и не просто собранные воспроизведения.
    4. Наконец после KDC проверил a удостоверение, он создает учетные данные, которые программа клиента на своей рабочей станции могут быть представлены на билет предоставления службы TGS. Учетные данные создан и развернут следующим образом...
      • Новый сеанс входа в систему ключ, зашифрованный a главный ключ
      • Второй копии ключа сеанса входа в систему и a данные авторизации, в билет предоставления билета (TGT), шифруется с помощью главного ключа KDC элемента.
      • После этого KDC посылает учетные данные обратно клиенту такого рода сообщение типа KRB_AS_REP (ответ на проверку подлинности Kerberos)
      • Когда клиент получает ответ, он расшифровывает ключ сеанса входа в систему через приложение a главный ключ. Ключ сеанса хранится в кэше билетов клиентской рабочей станции. TGT извлекаться из сообщения и хранящиеся в кэше, так и
  2. Предоставления билетов (TGS) службы Exchange
    1. На этом этапе клиент Kerberos, А на рабочей станции будет запрашивать учетные данные для доступа к целевой сервер, пользователь Б, отправив сообщение типа KRB_TGS_REQ (билеты службы запроса Kerberos), фактически KDC. Это сообщение состоит из следующих компонентов...
      • Идентификация целевой службы, для которой клиент запрашивает учетные данные
      • Средство проверки подлинности шифруется с помощью ключа сеанса входа в систему пользователя
      • TGT, полученная от AS Exchange
    2. KDC расшифровывает TGT с его основного ключа и ключей сеансов входа в систему извлекает объект. A вход ключ сеанса используется для расшифровки a средство проверки подлинности. Если тест KDC invents нового ключа сеанса для a совместно с б. этапов проверки подлинности. Две копии этого нового ключа сеанса отправляются обратно a в одном сообщении, зашифрованные следующим...
      • Одна копия шифруется с помощью a ключ сеанса входа в систему
      • Вторая копия шифруется с помощью целевого сервера главный ключ в билет вместе с a данных авторизации.
    3. Расшифровывает сеанса целевого сервера ключ, используя свой ключ сеанса входа в систему и сохраняет ключ сеанса в свой кэш, вместе с билетом целевого сервера.
  3. Клиент сервер (CS) Exchange
    1. А клиент Kerberos теперь все готово для проверки подлинности целевой сервер б. А клиент отправляет b сообщение типа KRB_AP_REQ (Kerberos приложения Request). Это сообщение содержит:
      • Средство проверки подлинности шифруется с помощью ключа сеанса для b
      • Билет для сеансов с B, зашифрован главным ключом и b
      • Флаг, показывающий, будет ли клиент запрашивает взаимную проверку подлинности.
    2. B расшифровывает билет и ключ сеанса и данные авторизации извлекает объект. B использует ключ сеанса для расшифровки a средство проверки подлинности и оценивает штамп времени. Если средство проверки подлинности прошел проверку, B ищет флаг взаимной проверки подлинности. Если этот флаг установлен, B использует ключ сеанса для шифрования времени от a для проверки подлинности и возвращает результат a в сообщение типа KRB_AP_REP (ответа приложений Kerberos)
    3. A расшифровывает ответ с ключом сеанса. Если средство проверки подлинности является идентичен тому, что она отправлено B, клиент может быть уверен, подлинность сервера и выполняет подключение.

Свойства

Код статьи: 217098 - Последний отзыв: 4 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbinfo kbnetwork kbmt KB217098 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:217098

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com