ภาพรวมพื้นฐานของโพรโทคอล Kerberos User รับรองความถูกต้องใน Windows 2000

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 217098 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

สรุป

บทความนี้อธิบายการรับรองความถูกต้อง Kerberos ผู้ใช้ใน Windows 2000

โปรดสังเกตว่า ใน matters เกี่ยวกับการรับรองความถูกต้อง Windows 2000 ไม่เข้ากันได้อย่างสมบูรณ์ย้อนหลัง บทความนี้มุ่งเน้น Kerberos พิสูจน์ตัวจริงของผู้ใช้ในสภาพแวดล้อม Windows 2000 pure: การรับรองความถูกต้องระหว่าง Windows 2000 เซิร์ฟเวอร์และไคลเอนต์ Windows 2000

ข้อมูลเพิ่มเติม

windows 2000 ให้การสนับสนุนสำหรับการตรวจสอบ v.5 MIT Kerberos ตามที่กำหนดใน IETF RFC 1510 โพรโทคอล Kerberos ประกอบด้วย subprotocols สาม subprotocol ที่ซึ่ง KDC (ศูนย์การแจกจ่ายคีย์) ให้ไคลเอนต์มีคีย์เซสชันได้เข้าสู่ระบบและ TGT (บัตรอนุญาตให้บัตร) จะเรียกว่าการแลกเปลี่ยนการรับรองความถูกต้องให้บริการ (AS) subprotocol ซึ่ง KDC การกระจายคีย์เซสชันการบริการและบัตรตัวสำหรับบริการเรียกว่า Exchange บริการที่อนุญาตให้บัตร (TGS) subprotocol ที่ซึ่งไคลเอ็นต์ pre-sends บัตรสำหรับ admission บริการเรียกว่า Exchange ไคลเอ็นต์/เซิร์ฟเวอร์ (CS)

ต่อไปนี้เป็นภาพรวมทางอย่างง่าย ๆ ของกลุ่มของการสื่อสารที่เกี่ยวข้องกับ Kerberos รับรองความถูกต้องเซ ระหว่างเวิร์กสเตชันของไคลเอ็นต์และเซิร์ฟเวอร์ทรัพยากรที่ใช้งาน

  1. แลกเปลี่ยนบริการ (AS) การรับรองความถูกต้อง
    1. ผู้ใช้ที่ A ที่เวิร์กสเตชัน Microsoft Windows 2000 Professional ล็อกอินไปยังเครือข่าย Microsoft Windows 2000 พิมพ์ชื่อผู้ใช้และรหัสผ่านเธอ ไคลเอ็นต์ Kerberos ที่ทำงานบนของ A แปลงถึงรหัสผ่านของคีย์การเข้ารหัสลับ เวิร์กสเตชัน และบันทึกผลในตัวแปรโปรแกรม
    2. ไคลเอ็นต์ Kerberos ส่งข้อความไปคีย์การแจกจ่าย Server (KDC), ชนิด KRB_AS_REQ (Kerberos พิสูจน์ตัวจริงของเซิร์ฟเวอร์ Request) ข้อความนี้มีสองส่วน:
      • การระบุของผู้ใช้ A และบริการที่เธอกำลังร้องขอข้อมูลประจำตัว TGS (การบริการอนุญาตให้บัตร)
      • ข้อมูล pre-authentication วัตถุประสงค์การพิสูจน์ A ทราบถึงรหัสผ่าน นี่คือ authenticator การใช้งานการเข้ารหัสลับ ด้วยของ A เพียงแค่คีย์หลัก คีย์การวางแผนหลักถูกสร้างขึ้น โดยการเรียกใช้รหัสผ่านของ A ผ่าน OWF แบบ
    3. KDC เมื่อรับ KRB_AS_REQ จาก A ลักษณะอัพผู้ใช้ A ในฐานข้อมูลนั้น (Active Directory), ได้รับคีย์การวางแผนหลักเธอ decrypts ข้อมูล pre-authentication และตรวจสอบการประทับเวลาภายใน ถ้าเวลาประทับส่งผ่านการทดสอบ KDC สามารถถูก assured ว่า ข้อมูล pre-authentication ถูกเข้ารหัสลับ ด้วย A ของคีย์หลัก และไม่ใช่แค่ replay การจับภาพ
    4. และสุดท้าย เมื่อ KDC การตรวจสอบของ A identity มันจะสร้างข้อมูลประจำตัวที่โปรแกรมไคลเอนต์บนเวิร์กสเตชันเธอสามารถนำเสนอไปบัตรอนุญาตให้บริการ (TGS) ข้อมูลประจำตัวจะถูกสร้าง และปรับใช้ต่อไปนี้...
      • เซสชันการเข้าสู่ระบบใหม่ brand คีย์ มี A ของการเข้ารหัสลับคีย์การวางแผนหลัก
      • สำเนาที่สองของคีย์เซสชันได้เข้าสู่ระบบและของ A ข้อมูลการอนุญาต ในแบบบัตรอนุญาตให้บัตร (TGT), การเข้ารหัสลับ ด้วยคีย์การวางแผนหลักของ KDC เอง
      • ขั้นตอนถัดไป KDC การส่งข้อมูลประจำตัวเหล่านี้กลับไปยังไคลเอ็นต์ โดยการตอบกลับด้วยข้อความชนิด KRB_AS_REP (ตอบรับรับรองความถูกต้อง Kerberos)
      • เมื่อไคลเอนต์ได้รับข้อความตอบกลับ decrypts คีย์เซสชันได้เข้าสู่ระบบโดยใช้โปรแกรมประยุกต์ของ A ของคีย์หลัก คีย์เซสชันนั้นได้ถูกจัดเก็บไว้ในแคชบัตรของเวิร์กสเตชันไคลเอนต์ TGT ที่แยกจากข้อความ และเก็บไว้ในแคชเช่นเดียวกัน
  2. อนุญาตให้บัตร Exchange บริการ (TGS)
    1. ที่ระยะนี้ ไคลเอ็นต์ Kerberos ที่ทำงานบน A ของเวิร์กสเตชันกำลังเพื่อขอข้อมูลประจำตัวการเข้าถึงเซิร์ฟเวอร์เป้าหมาย ผู้ใช้ที่ B การส่งข้อความชนิด KRB_TGS_REQ (Kerberos บัตรอนุญาตให้บริการขอ), จริง จะ KDC นั้น ข้อความนี้ประกอบด้วยคอมโพเนนต์ต่อไปนี้...
      • รหัสประจำตัวของบริการเป้าหมายที่ไคลเอ็นต์กำลังร้องขอข้อมูลประจำตัว
      • authenticator ที่ มีคีย์เซสชันได้เข้าสู่ระบบของผู้ใช้ที่เข้ารหัสลับ
      • tgt ที่ได้รับจาก AS Exchange
    2. KDC decrypts TGT กับคีย์หลักของ และคีย์เซสชันได้เข้าสู่ระบบของ extracts A เซสชันคีย์การเข้าสู่ระบบของ A ใช้ authenticator ของ A ถอดรหัสลับ ถ้าการทดสอบ KDC invents คีย์ที่ใช้ในการเซสชันใหม่สำหรับ A เพื่อใช้ร่วมกับ B. ผ่านไป authenticator ของ A สำเนาที่สองของคีย์เซสชันใหม่นี้จะถูกส่งกลับ A ในข้อความเดียว การเข้ารหัสลับเป็นดังนี้
      • คัดลอกหนึ่งถูกเข้ารหัสลับของ A การใช้คีย์เซสชันได้เข้าสู่ระบบ
      • สำเนาที่สองถูกเข้ารหัสลับโดยใช้คีย์หลักของเซิร์ฟเวอร์เป้าหมาย ในบัตรที่พร้อม A ของข้อมูลการรับรองความถูกต้อง
    3. decrypts เซสชันของเซิร์ฟเวอร์เป้าหมาย คีย์ การใช้คีย์เธอเซสชันได้เข้าสู่ระบบ และคีย์เซสชันที่จัดเก็บไว้ในแคชเธอ พร้อมกับบัตรของเซิร์ฟเวอร์เป้าหมาย
  3. Exchange Server (CS) ไคลเอนต์
    1. A ของไคลเอ็นต์ Kerberos ไม่พร้อมที่จะมีการรับรองความถูกต้องจากเซิร์ฟเวอร์เป้าหมาย B. เดี๋ยวนี้ A ของไคลเอนต์ส่ง B ข้อความชนิด KRB_AP_REQ (Kerberos แอพลิเคชัน Request) ข้อความนี้ประกอบด้วย:
      • authenticator การเข้ารหัสลับ ด้วยคีย์เซสชัน B
      • The ticket for sessions with B, encrypted with B's master key
      • A flag indicating whether the client requests mutual authentication.
    2. B decrypts the ticket, and extracts A's authorization data and session key. B uses the session key to decrypt A's authenticator, and evaluates the time stamp. If the authenticator passes the test, B looks for a mutual authentication flag. If this flag is set, B uses the session key to encrypt the time from A's authenticator, and returns the result to A in a message of type KRB_AP_REP (Kerberos Application Reply)
    3. A decrypts the reply with the session key. If the authenticator is identical to the one that she sent B, the client is assured that the server is genuine, and the connection proceeds.

คุณสมบัติ

หมายเลขบทความ (Article ID): 217098 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbinfo kbnetwork kbmt KB217098 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:217098

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com