在 Windows 2000 中的用户的 Kerberos 身份验证协议的基本概述

文章翻译 文章翻译
文章编号: 217098 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

本文介绍在 Windows 2000 中的 Kerberos 用户身份验证。

请注意,在与身份验证有关的问题,Windows 2000 是完全向后兼容。这篇文章重点介绍在纯 Windows 2000 环境中的 Kerberos 用户身份验证: Windows 2000 服务器和 Windows 2000 客户端之间的身份验证。

更多信息

Windows 2000 提供了 IETF RFC 1510 中定义对 v.5 MIT Kerberos 身份验证的支持。Kerberos 协议组成三个 subprotocols。登录会话密钥和一个 TGT (票证授予票证) KDC (密钥分发中心) 提供客户端 subprotocol 调用身份验证服务 (AS) 交换。Subprotocol 中的 KDC 分发服务的会话密钥,并为服务票证被称为票证授予服务 (TGS) 交换。其中客户端 pre-sends 票据许可服务 subprotocol 被称为客户端/服务器 (CS) 交换。

下面是通信的所涉及的 Kerberos 身份验证会话中,客户端工作站和资源服务器之间链的简单概述。

  1. 身份验证服务 (AS) 交换
    1. A 在 Microsoft Windows 2000 专业版工作站,在用户登录到 Microsoft Windows 2000 的网络中,键入用户名和密码。运行在 A 的上的 Kerberos 客户端工作站将密码转换为加密密钥,并将结果保存在程序变量中。
    2. Kerberos 客户端将消息发送到密钥分发服务器 (KDC),KRB_AS_REQ (Kerberos 身份验证服务器请求) 类型。此邮件有两个部分:
      • 标识用户,A 和她正在为其请求的凭据,TGS (票证授予服务) 的服务
      • 预身份验证数据,用来证明一个知道密码。这是只是用 A 的加密身份验证器主要密钥。通过运行生成主密钥通过 OWF A 的密码。
    3. KDC,在收到 KRB_AS_REQ 从 A 中,用户 A (Active Directory),其数据库中查找时获取她主密钥,解密预身份验证的数据,并计算中的时间戳。如果的时间戳都通过的测试,KDC 可以确保预身份验证数据经过加密使用一个的主密钥,并不是只是捕获重放。
    4. 最后,一旦 KDC 已验证 A 的身份,它将创建在其工作站上的客户端程序可以显示为票证授予服务 (TGS) 的凭据。创建和部署,如下所示的凭据...
      • 新的登录会话密钥、 加密与 A 的主要密钥
      • 第二个副本 A 的登录会话密钥以及授权在票据发放票据 (TGT),用 KDC 的主密钥加密的数据。
      • 接下来,KDC 发送这些凭据返回给客户端通过使用消息类型 KRB_AS_REP (Kerberos 身份验证响应) 的答复
      • 当客户端收到答复时,它解密通过应用程序 A 的登录会话密钥为主要密钥。会话密钥然后存储在客户端工作站的票证缓存中。从消息中提取 TGT 和将其存储在缓存中以及
  2. 票证授予服务 (TGS) 交换
    1. 在此阶段,Kerberos 客户端运行的工作站将实际请求的凭据才能访问目标服务器,通过发送一条消息类型 (Kerberos 票证授予服务请求),KRB_TGS_REQ 的用户 B,到 KDC。此消息包含以下组件...
      • 目标服务的客户端请求的凭据的标识
      • 使用用户的登录会话密钥加密的身份验证器
      • 获取从 AS 交换的 TGT
    2. KDC 对 TGT 具有其主机键和提取 A 的登录会话密钥进行解密。A 的登录会话密钥用于解密的身份验证器。如果 A 的测试,KDC invents a 与 b。 共享新的会话密钥的身份验证器刀路此新的会话密钥的两个副本将发送给在单个邮件中,加密的如下所示的 A.
      • 一个副本进行加密使用 A 的登录会话密钥
      • 第二个副本进行加密以及 A 的票证使用目标服务器的主密钥,授权数据。
    3. 解密的目标服务器的会话密钥,使用她登录会话密钥,并将会话密钥存储在其缓存中,以及在目标服务器的票证。
  3. 客户端-服务器 (CS) 交换
    1. A 的 Kerberos 客户端现在已准备好进行身份验证的目标服务器,b。A 的类型 (Kerberos 应用程序请求) 的 KRB_AP_REQ 的消息客户端就会发送到 B。此邮件包含:
      • B 为使用会话密钥加密身份验证器
      • 与 B,使用 B 的主密钥加密的会话票证
      • 一个标志,该标志指示客户端是否要求相互身份验证。
    2. B 解密票证,并提取 A 的身份验证数据和会话密钥。B 使用该会话密钥与解密的身份验证器,然后评估的时间戳。如果身份验证器通过了测试,则 B 寻找相互身份验证标志。如果设置了此标志,则 B 使用会话密钥加密的时间从 A 的身份验证器,并返回的结果与 A KRB_AP_REP (Kerberos 应用程序回复) 类型的消息
    3. A 使用的会话密钥解密答复。如果身份验证者是完全相同,她发送 B、 放心服务器是真实的客户端和连接将继续。

属性

文章编号: 217098 - 最后修改: 2013年7月10日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbinfo kbnetwork kbmt KB217098 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 217098
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com