在 Windows 2000 中的 Kerberos 使用者驗證通訊協定的基本概觀

文章翻譯 文章翻譯
文章編號: 217098 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

本文將告訴您,在 Windows 2000 中的 Kerberos 使用者驗證。

請注意,在與驗證相關的事情,Windows 2000 是完全回溯相容。本文著重在純粹的 Windows 2000 環境中的 Kerberos 使用者驗證: Windows 2000 伺服器和 Windows 2000 用戶端之間的驗證。

其他相關資訊

Windows 2000 為 MIT Kerberos v.5 驗證提供支援,IETF RFC 1510 中所定義。Kerberos 通訊協定是由三個 subprotocols 所組成。可在其中 KDC (金鑰發佈中心) 讓用戶端登入工作階段索引鍵] 和 [TGT (票證所授與的票證) subprotocol 稱為驗證服務 (AS) Exchange。KDC 等距均分服務工作階段索引鍵] 和 [服務票證 subprotocol 稱為票證授與服務 (TGS) Exchange。用戶端 pre-sends 門票到服務的票證 subprotocol 稱為用戶端/伺服器 (CS) Exchange。

以下是通訊用戶端工作站和資源伺服器之間一個 Kerberos 驗證工作階段所涉及鏈結的簡單概觀。

  1. 驗證服務 (AS) 交換
    1. 使用者在 Microsoft Windows 2000 專業版工作站的 A 登入 Microsoft Windows 2000 網路輸入她的使用者名稱及密碼。Kerberos 用戶端執行 A 的工作站將她密碼轉換成加密金鑰,並將結果儲存在程式變數。
    2. Kerberos 用戶端會傳送訊息至金鑰發行伺服器 (KDC),型別 KRB_AS_REQ (Kerberos 驗證伺服器要求)。此訊息有兩個部分:
      • 使用者 A,並為其她正在要求 TGS (票證授與服務) 的認證服務的一個識別
      • 預先驗證資料的用意是要證明 A 知道她的密碼。這是只使用 A 的加密的驗證者主要金鑰。主要金鑰由執行產生一個 OWF 透過 A 的密碼。
    3. [KDC 收到 KRB_AS_REQ 從 A 向上 (Active Directory),其資料庫中,使用者 A 的外觀時取得她的主要金鑰、 將解密預先驗證資料,並評估時間戳記內。如果的時間戳記會傳遞,測試 KDC 可以確定預先驗證資料已加密以 A 的主要金鑰,而且不只是擷取的重播。
    4. 最後,一旦 KDC 已經確認 A 的身分識別,就會建立她工作站上的用戶端程式能夠呈現到 「 票證授與服務 (TGS) 的認證。建立和部署,如下所示認證...
      • 全新的登入工作階段金鑰、 加密的 A 的主要金鑰
      • 登入工作階段索引鍵和 A 的第二份授權資料中的票證授與的票證 (TGT),以 KDC 自己主要金鑰加密。
      • 接下來,KDC 傳送這些認證回到用戶端回覆訊息類型 KRB_AS_REP (Kerberos 驗證回應)
      • 當用戶端收到回覆時,它解密登入工作階段金鑰,透過應用程式的 A 的主要金鑰。工作階段金鑰會儲存在用戶端工作站的票證快取中。TGT 是從該郵件中擷取並儲存於快取也
  2. 票證授與服務 (TGS) 交換
    1. 在這個的階段上 A 的執行 Kerberos 用戶端工作站將實際要求認證以存取目標伺服器的型別 KRB_TGS_REQ (Kerberos 票證授與服務要求),郵件傳送給使用者 B,給 KDC。這個訊息是由下列元件所組成...
      • 用戶端正在要求認證的目標服務的身分識別
      • 以使用者的登入工作階段金鑰加密的驗證者
      • 取得從 AS Exchange 的 TGT
    2. KDC 解密 TGT 與它的主索引鍵和抽選 A 登入工作階段金鑰。A 的登入工作階段索引鍵是用來解密 A 驗證者。如果 A 的驗證者傳遞測試 KDC invents A B.與共用的新工作階段索引鍵這個新的工作階段索引鍵的兩份傳回到中,如下所示加密成單一訊息 A
      • 一個複本加密使用 A 的登入工作階段索引鍵
      • 第二個複本加密使用目標伺服器的主要金鑰中連同 A 的票證授權資料。
    3. decrypts 目標伺服器工作階段索引鍵使用她的登入工作階段金鑰,並將工作階段索引鍵儲存在目標伺服器的票證連同她快取中。
  3. 用戶端-伺服器 (CS) 交換
    1. A 的 Kerberos 用戶端就可準備進行驗證的目標伺服器 B。A 的用戶端傳送 B 的型別 KRB_AP_REQ (Kerberos 應用程式要求) 訊息。此郵件包含:
      • 驗證者使用工作階段金鑰加密的 B
      • 工作階段以 B 的主要金鑰加密的 B 與的票證
      • 旗標,指出是否用戶端要求相互驗證。
    2. B 會解密該票證及抽選 A 授權資料和工作階段金鑰。B 使用工作階段金鑰來解密 A 驗證者,並評估時間戳記。如果驗證者通過測試,B 會尋找相互驗證旗標。如果設定這個旗標 B 使用工作階段金鑰來加密從 A 時間的驗證者,並傳回結果到 A,在郵件中的型別 KRB_AP_REP (Kerberos 應用程式回覆)
    3. A 以工作階段金鑰解密回覆。如果驗證者是一個相同該她傳送 B、 用戶端確定伺服器是正版,並連線會繼續。

屬性

文章編號: 217098 - 上次校閱: 2007年2月27日 - 版次: 3.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbmt kbinfo kbnetwork KB217098 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:217098
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com