Windows 2000'de Kerberos kullanıcı kimlik doğrulaması protokolüne genel bakış (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Makale çevirileri Makale çevirileri
Makale numarası: 217098 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Özet

Bu makalede, Windows 2000'de Kerberos kullanıcı kimlik doğrulamasını açıklar.

Windows 2000 kimlik doğrulaması ile ilgili daha fazla konu içinde tümüyle geriye dönük olarak uyumlu olduğunu unutmayın. Bu makalede, yalnızca Windows 2000 ortamında Kerberos kullanıcı kimlik doğrulaması odaklanır: Windows 2000 sunucularına ve Windows 2000 istemcileri arasında kimlik doğrulaması.

Daha fazla bilgi

Windows 2000 için MIT Kerberos v.5 kimlik doğrulaması, IETF RFC 1510 ' tanımlandığı gibi destekler. Kerberos iletişim kuralı üç subprotocols oluşur. Kimlik doğrulama hizmeti (AS) alışverişi, KDC (Anahtar Dağıtım Merkezi) istemci oturum açma oturum anahtarı ve TGT (bilet Ticket Granting) verir subprotocol olarak adlandırılır. KDC Hizmeti bir oturum anahtarı ve bir hizmet bileti dağıtır subprotocol Ticket Granting Service (TGS) alışverişi denir. Istemci, hizmet için bir giriş için bilet pre-sends subprotocol istemci/sunucu (CS) alışverişi denir.

Aşağıda, zincirdeki bir istemci iş istasyonunun kaynak sunucu arasında Kerberos kimlik doğrulaması oturum katılan iletişim basit bir genel bakıştır.

  1. Kimlik doğrulama hizmeti (AS) Exchange
    1. A kullanıcısı, iş istasyonunda bir Microsoft Windows 2000 Professional, Microsoft Windows 2000 ağına kendi kullanıcı adı ve parola yazarak oturum açar. Kerberos istemcisi A üzerinde çalışan iş istasyonu için bir şifreleme anahtarı her parola dönüştürür ve sonucu bir program değişkende kaydeder.
    2. Kerberos istemcisi, anahtar dağıtım sunucusu (KDC için), <a1>Tür</a1> KRB_AS_REQ (Kerberos sunucusu kimlik doğrulama isteği) bir ileti gönderir. Bu ileti, iki bölümden oluşur:
      • Bir kullanıcı, A ve Filiz kimlik bilgilerini (Ticket Granting Service) TGS nıza hizmet kimliği
      • Ön kimlik doğrulama verileri, A, kullanıcının parolasını bilen kanıtlamak tasarlanmıştır. Bu, yalnızca A ile şifrelenmiş bir kimlik, ana anahtar. Ana anahtar, çalışan tarafından oluşturulan bir OWF A'ın parola.
    3. KDC, A'dan arar, A kullanıcısı (tarafından etkin dizinin), veritabanında KRB_AS_REQ alındığında kendi ana anahtarı alır ön kimlik doğrulama verilerin şifresini çözer ve zaman damgası içinde değerlendirilir. Yararlandığından zaman damgası, sınama geçirmeden KDC ön kimlik doğrulama verileri, A ile şifrelenmiş emin olabilirler ana anahtarı ve yalnızca yakalanan yeniden oynama değil.
    4. Son olarak, KDC A doğruladı sonra kimliğini, kullanıcının iş istasyonundaki istemci programı Ticket Granting Service (TGS) için sunabilirsiniz kimlik oluşturur. Kimlik bilgileri, oluşturulan ve aşağıdaki gibi Dağıtılmış...
      • Yeni BIR oturum anahtarı, A ile şifrelenmiş ana anahtarı
      • Oturum açma ve oturum anahtarı ve A'ın ikinci BIR kopyasını, Ticket Granting anahtarı (KDC'NIN kendi ana anahtar ile şifrelenmiş TGT), yetkilendirme verileri.
      • Ardından, KDC bu kimlik bilgilerini istemciye geri <a1>Tür</a1> (Kerberos kimlik doğrulama yanıtı) KRB_AS_REP iletisiyle yanıtlayarak gönderir
      • Istemci bir yanıt aldığında, A'ın uygulaması aracılığıyla oturum açma oturum anahtarının şifresini çözer ana anahtar. Oturum anahtarı, daha sonra istemci iş istasyonunun bilet önbelleğinde depolanır. TGT iletiden ayıklanmış ve yanı önbelleğinde depolanan
  2. Bilet Granting Service (TGS) Exchange
    1. Bu aşamada, Kerberos istemcisi A üzerinde çalışan iş istasyonu gerçekte, <a1>Tür</a1> KRB_TGS_REQ (Kerberos Ticket-Granting Service isteği), bir ileti göndererek, B kullanıcının hedef sunucuya erişmek için kimlik bilgileri isteme KDC'YE edecek. Bu ileti, aşağıdaki bileşenlerden oluşur...
      • Istemcinin kimlik bilgilerini isteyen hedef hizmetin kimlik
      • Kullanıcının oturum açma oturum anahtarı ile şifrelenmiş kimlik doğrulayıcısı
      • TGT AS değişiminden alındı
    2. KDC, ana anahtar ve girişlerinizin A'ın oturum açma ve oturum anahtarı TGT şifresini çözer. A'ın oturum açma, oturum anahtarının şifresini çözme A'ın kimlik doğrulayıcısı için kullanılır. Yeni bir oturum anahtarı için A, B ile paylaşmak sınama, KDC invents A'ın kimlik doğrulayıcısı geçiş Bu yeni oturum anahtarının iki kopyasını geri gibi şifreli, tek bir iletinin A gönderilir
      • A'ın kullanarak bir kopya şifreli oturum açma ve oturum anahtarı
      • Ikinci kopyası hedef sunucunun ana anahtar, A ile birlikte bir anahtar kullanılarak şifrelenmiş yetkilendirme verileri.
    3. Bir hedef sunucu oturumu decrypts kendi oturum açma oturum anahtarı kullanarak, anahtar ve oturum anahtarı, hedef sunucu bilet birlikte kendi önbelleğinde depolar.
  3. Istemci-sunucu (CS) Exchange
    1. A'ın Kerberos istemcisi, B hedef sunucu tarafından doğrulanması hazır BIR istemci B <a1>Tür</a1> KRB_AP_REQ (Kerberos, uygulama isteği) bir ileti gönderir olur. Bu iletiyi içerir:
      • Oturum anahtarı için B şifreli bir kimlik doğrulayıcısı
      • B B's ana anahtar ile şifrelenmiş olan oturumları için bilet
      • Istemci, karşılıklı kimlik doğrulama istekleri olup olmadığını gösteren bayrak.
    2. B girişlerinizin A'ın yetkilendirme verileri ve oturum anahtarı ve anahtarın şifresini çözer. B şifresini çözme A'ın kimlik doğrulayıcısı için oturum anahtarını kullanır ve zaman damgası değerlendirir. Kimlik doğrulayıcısının sınama başarılı olursa, karşılıklı kimlik doğrulama için bayrak B arar. Bu bayrak ayarlanırsa, B A'dan zaman şifrelemek için oturum anahtarını kullanır kimlik doğrulayıcısı olan ve sonucu A <a1>Tür</a1> KRB_AP_REP (Kerberos uygulama yanıtı) bir ileti verir.
    3. BIR oturum anahtarı ile yanıt şifresini çözer. Kimlik doğrulayıcısının özdeş bir bu she B gönderilen, istemci, sunucu orijinal yararlandığından emin ve bağlantı devam eder.

Özellikler

Makale numarası: 217098 - Last Review: 27 Şubat 2007 Salı - Gözden geçirme: 3.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Anahtar Kelimeler: 
kbmt kbinfo kbnetwork KB217098 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:217098

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com