Základný prehľad o overovací protokol Kerberos používateľovi v systéme Windows 2000

Preklady článku Preklady článku
ID článku: 217098 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

SUHRN

Tento článok popisuje overovanie používateľa Kerberos v systéme Windows 2000.

Všimnite si, že vo veciach týkajúcich sa overovania, Windows 2000 je úplne kompatibilný. Tento článok sa zameriava na overenie používateľa Kerberos v prostredí čistého Windows 2000: autentifikácia medzi servermi systému Windows 2000 a Windows 2000 klientov.

DALSIE INFORMACIE

Systém Windows 2000 poskytuje podporu MIT Kerberos v.5 overovanie, ako je definované v dokumente RFC 1510 IETF. V protokole Kerberos sa skladá z troch subprotocols. Subprotocol v ktorom KDC (Key distribučné centrum) poskytne klientovi kľúča relácie prihlásenia a TGT (Ticket udelenie lístok) sa nazýva Authentication Service (AS) výmenu. Subprotocol v ktorom KDC distribuuje kľúča relácie služby a lístok pre službu sa nazýva výmenu Ticket-Granting Service TGS (). Subprotocol v ktorom klient pre-sends letenky pre vstup do služby sa nazýva klient/server (CS) výmenu.

Toto je jednoduchý prehľad reťazca komunikácia podieľajú Kerberos authentication relácie medzi klientskou pracovnou stanicou a serverom zdrojov.

  1. Authentication Service (AS) výmena
    1. Používateľ a na pracovnom stanovišti Microsoft Windows 2000 Professional prihlási do siete Microsoft Windows 2000, napíšete jej meno používateľa a heslo. Kerberos klienta bežiaceho na a pracovná stanica konvertuje jej heslo šifrovací kľúč a výsledok uloží do programu variabilné.
    2. Kerberos klientsky počítač odošle správa na Server (KĽÚČOV), typu KRB_AS_REQ (Kerberos Authentication Server žiadosť). Táto správa má dve časti:
      • Identifikáciu používateľa, A, a služby, pre ktoré ona požaduje poverenia, TGS (Ticket-Granting Service)
      • Pre-Authentication údaje určené na preukázanie, že a vie jej heslo. To je jednoducho overovateľom, šifrované a to hlavný kľúč. Hlavný kľúč je generovaná beží na heslo prostredníctvom OWF.
    3. KDC po prijatí KRB_AS_REQ z, vyzerá až používateľ a vo svojej databáze (Active Directory), dostane jej hlavný kľúč, dešifruje pre-authentication údaje a hodnotí časovú pečiatku vo vnútri. Ak čas pečiatka prechádza testu KDC si byť istí, že pre-authentication údajov bol zašifrovaný a je hlavný kľúč, a nie je len zachytené replay.
    4. Nakoniec, po KDC preverí a identitu, bude vytvárať poverenia, ktoré klientsky program na jej pracovnej stanici, môže predložiť na letenku udelenie služba TGS (). Poverenia sú vytvorené a nasadené takto...
      • Zbrusu novú prihlasovaciu reláciu kľúčové, šifrované a to hlavný kľúč
      • Druhá kópia kľúča relácie prihlásenia a a na povolenie údajov, v letenky udelenie lístok (TGT), zašifrované pomocou KDC vlastné hlavný kľúč.
      • Ďalej KDC odošle tieto poverenia späť ku klientovi zodpovedaním hlásenie typu KRB_AS_REP (Kerberos Authentication reakcie)
      • Keď klient dostane odpoveď, dešifruje kľúča relácie prihlásenia prostredníctvom uplatňovania a to hlavný kľúč. Kľúč relácie sa potom uloží v pracovnej stanici klientovi letenku cache. TGT je extrahovaná zo správy a uložené vo vyrovnávacej pamäti ako aj
  2. Ticket-Granting výmeny (TGS Service)
    1. V tomto štádiu, Kerberos klienta bežiaceho na a pracovná stanica je skutočne požiadať poverenia na prístup k cieľový server, používateľ B, odoslaním správy typu KRB_TGS_REQ (Kerberos Ticket-Granting Service žiadosť), chystá KDC. Táto správa pozostáva z týchto zložiek...
      • Totožnosť cieľové služby, pre ktoré je klient žiada poverenia
      • Overovateľ zašifrované pomocou kľúča relácie prihlásenia používateľa
      • TGT nadobudnuté od ako výmenu
    2. Služba KDC dešifruje TGT s jeho hlavný kľúč a extrakty a kľúč relácie prihlásenia. A to prihlasovacie kľúč relácie sa používa na dešifrovanie a overovateľom. Ak a overovateľom prejde test, KDC vynašiel bipolárny nový kľúč relácie a zdieľať s B. Dve kópie tejto nový kľúč relácie sa odošlú späť a v jednej správe, šifrované takto...
      • Jednu kópiu je šifrované pomocou a kľúč relácie prihlásenia
      • Druhá kópia je šifrované pomocou cieľový server hlavného kľúča, letenku spolu s a to povolenie údajov.
    3. Decrypts cieľová relácia servera kľúč, pomocou jej kľúč relácie prihlásenia, a uloží kľúč relácie v jej cache spolu s cieľového servera letenky.
  3. Klient-Server (CS) výmena
    1. A to Kerberos klienta je teraz pripravený na osvedčia cieľový server, B. A klientsky počítač odošle b správu typu KRB_AP_REQ (Kerberos uplatňovanie žiadosť). Táto správa obsahuje:
      • Overovateľ zašifrované pomocou kľúča relácie pre b
      • Letenky v relácií s B, zašifrované pomocou b hlavný kľúč
      • S príznakom, označujúcim, či klient požaduje vzájomnú autentifikáciu.
    2. B dešifruje letenky a extrakty a povolenie údajov a relácie kľúč. B používa kľúč relácie na dešifrovanie a overovateľom a hodnotí časovej pečiatky. Ak overovateľom prejde test, B vyhľadáva vzájomná autentifikácia vlajkou. Ak táto vlajka je nastavený, B používa kľúča relácie na zašifrovanie čas od a je overovateľom, a vracia výsledok a v správe typu KRB_AP_REP (Kerberos uplatňovanie odpoveď)
    3. A dešifruje odpoveď kľúč relácie. Ak overovateľom je rovnaká že ona poslal B, klient je istí, že server je pravá a pripojenie výnosy.

Vlastnosti

ID článku: 217098 - Posledná kontrola: 21. októbra 2011 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kľúčové slová: 
kbinfo kbnetwork kbmt KB217098 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:217098

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com