Správa protokolu Kerberos v systému Windows 2000

Překlady článku Překlady článku
ID článku: 232179 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Implementace systému Windows 2000 protokol ověřování Kerberos nevyžaduje rozsáhlé správy nebo konfigurace. Protože je výchozí ověřovací balíček, je nainstalován automaticky všech počítačů se systémem Microsoft Windows 2000. Kromě karet smart card pomocí protokolu Kerberos je obvykle proces automatické a není nutné ji nastavit. Existuje velmi málo zásady možností, které mohou být použity k protokolu Kerberos. Program Sledování sítě nemá předdefinované analyzátor, a protože většina přenosů protokolu Kerberos je šifrován, stopy nejsou velmi revealing a proto není velmi užitečné. Tento článek popisuje správu protokolu Kerberos.

Další informace

Dva nástroje, které jsou zahrnuty pro správu protokolu Kerberos: KerbTray a NetDom.

KerbTray

KerbTray se používá k zobrazení informací o lístek pro daný počítač s protokolem Kerberos. Ikona KerbTray je umístěn na hlavním panelu systému (na pravé straně hlavního panelu) a slouží k zobrazení a vyprázdnění mezipaměti lístek. Chcete-li použít KerbTray, klepněte pravým tlačítkem myši na ikonu a klepněte na Seznam lístky nebo Vymazat lístky. Při zobrazení mezipaměti lístek následující příznaky mapovat na sloupci příznaky:
  • F = forwardable
  • f = dál
  • P = proxiable
  • p = proxy
  • D = může postdate
  • d = postdated
  • I = neplatný
  • R = obnovitelných
  • I = počáteční
  • H = ověření hardwaru
  • A = pre-authenticated
  • L = OK jako delegát

Výchozí příznak lístek

  • Pro udělování lístku lístku nebo TGT (první uvedené lístek): FPRI (Forwardable, Proxiable, Renewable a počáteční).
  • Pro lístky relace (druhý a třetí uvedených lístky): FPR (Forwardable, Proxiable a Renewable).

NetDom

NetDom je nástroj sady Resource Kit pro manipulaci s zabezpečené kanály mezi servery, servery a servery do pracovních stanic. V systému Windows 2000 NetDom je nástroj, který hledá servery domény a vztahy důvěryhodnosti. Byl modifikován také umožnit obnovení Kerberos přenositelné vztahy důvěryhodnosti.

Nastavení zásady modulu Kerberos

V systému Windows 2000 je zásad modulu Kerberos definované na úrovni domény a prováděna podle domény klíč CENTREM distribuce). Zásady modulu Kerberos je uložen ve službě Active Directory jako podmnožinu atributů zásad zabezpečení domény. Podle výchozího nastavení možnosti zásad lze nastavit pouze členové skupiny Domain Administrators.

Zásady modulu Kerberos je umístěn ve výchozích zásadách domény a obsahuje následující volby:

Vynutit omezení přihlášení uživatele

Je-li tato možnost povolena, služba KDC ověřuje každou žádost o lístek relace porovnáním zásady uživatelských práv v cílovém počítači ověřit, zda má uživatel právo přihlásit se místně nebo získat přístup k počítači ze sítě. Je také kontrolu zajištěn dožadující účet stále platný. Ověření je volitelný, protože další krok trvá a může zpomalit síťový přístup ke službám. Výchozí hodnota: povoleno.

Maximální životnost, která může být obnoven uživatele lístku

Je maximální dobu životnosti lístku (TGT nebo relace ticket, i když zásada určuje, že to "lístek uživatele"). Po uplynutí této doby může být obnoven žádný lístku. Výchozí hodnota: 7 dní.

Maximální životnost lístku služby

"Lístek služby" je lístek relace. Nastavení jsou v minutách. Nastavení musí být více než deset minut a menší než nastavení pro "maximální uživatele doba lístku života. Výchozí hodnota: 10 hodin.

Maximální tolerance pro synchronizaci hodiny počítače

Hodiny serveru KDC a klient služby Kerberos hodiny muset budou synchronizovány do v zadaném počtu minut. Jestliže hodiny nejsou synchronizovány v rámci zadaného počtu minut, nejsou lístky vydány klientovi. Toto je odstrašující prostředek v útoky přehrát znovu. Nastavení jsou v minutách. Výchozí hodnota: 5 minut.

Maximální životnost lístku uživatele

"Uživateli lístek" je TGT a musí být obnoveno po uplynutí této doby. Výchozí hodnota: 10 hodin.

Vlastnosti

ID článku: 232179 - Poslední aktualizace: 27. února 2007 - Revize: 3.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Klíčová slova: 
kbmt kbenv kbinfo KB232179 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:232179

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com