Administración de Kerberos en Windows 2000

Id. de artículo: 232179 - Ver los productos a los que se aplica este artículo
Traducción automáticaAdvertencia: Artículo de Traducción Automática, vea la exención de responsabilidad.
Expandir todo | Contraer todo

En esta página

Resumen

La implementación del protocolo de autenticación Kerberos en Windows 2000 no requiere administración amplia o configuración. Puesto que es el paquete de autenticación predeterminado, se instala automáticamente en todos los equipos basados en Microsoft Windows 2000. Excepto para las tarjetas inteligentes, Kerberos es normalmente un proceso automático y no es necesario configurarlo. Hay muy pocas opciones de directiva que se pueden aplicar a Kerberos. El Monitor de red no tiene un analizador integrado y porque se cifra más tráfico de Kerberos, trazas no son muy revelar y, por lo tanto, no muy útil. Este artículo describe la administración del protocolo Kerberos.
Volver al principio | Enviar comentarios

Más información

Dos utilidades se incluyen para la administración de Kerberos: KerbTray y NetDom.

KerbTray

KerbTray se utiliza para mostrar información de vale para un determinado equipo con el protocolo Kerberos. El icono KerbTray se encuentra en la bandeja del sistema (en el lado derecho de la barra de tareas) y puede utilizarse para ver y purgar la caché de vales. Para utilizar KerbTray, haga clic con el botón secundario del mouse en el icono y, a continuación, haga clic en Listas de lista o Listas de depuración . Cuando esté viendo la caché de vales, los indicadores siguientes se asignan a la columna indicadores:
  • F = forwardable
  • f = reenviado
  • P = proxiable
  • p = procesadas como proxy
  • D = puede postdate
  • d = postdated
  • i = no válido
  • R = renovable
  • I = iniciales
  • H = hardware autenticado
  • A = pre-authenticated
  • L = correcto como delegado

Vale de indicador predeterminados

  • Para el vale de concesión de vales o TGT (el primer enumerado vale): FPRI (Forwardable, Proxiable, Renewable y inicial).
  • Para los vales de sesión (los segundo y tercero listados vales): FPR (Forwardable Proxiable y Renewable).

NetDom

NetDom es una herramienta de Kit de recursos para manipular los canales seguros entre los servidores a servidores y los servidores a estaciones de trabajo. En Windows 2000, NetDom es una herramienta que comprueba los servidores de dominio y las relaciones de confianza. Se ha modificado para también permitir el restablecimiento de las confianzas transitivas de Kerberos.

Configuración de directiva de Kerberos

En Windows 2000, la directiva Kerberos está definida en el nivel de dominio e implementada Centro de distribución del dominio claves (KDC). La directiva Kerberos se almacena en Active Directory como un subconjunto de los atributos de la directiva de seguridad de dominio. De forma predeterminada, se pueden establecer las opciones de directiva únicamente por miembros del grupo Administradores de dominio.

La directiva Kerberos se encuentra en la directiva de dominio predeterminada y incluye las siguientes opciones:

Exigir restricciones de inicio de sesión de usuario

Cuando esta opción está habilitada, el KDC valida cada solicitud de un vale de sesión examinando la directiva de derechos de usuario en el equipo de destino para comprobar que el usuario dispone de la derecha para iniciar sesión localmente o tener acceso al equipo desde la red. También es una comprobación para asegurarse de que la cuenta del solicitante es aún válida. Comprobación es opcional porque el paso adicional lleva tiempo y puede ralentizar el acceso de red a los servicios. Valor predeterminado: habilitada.

Vigencia máxima que puede ser renovado un vale de usuario

Se trata de la vigencia máxima de un vale (o un TGT como una sesión vale, aunque la directiva especifica que ésta es un "vale de usuario"). Después de este tiempo no se puede renovar vale. Valor predeterminado: 7 días.

Vigencia máxima del vale de servicio

Un "vale de servicio" es un vale de sesión. Configuración está en minutos. El valor debe ser más de diez minutos y menor que el valor de "Vigencia de vale de usuario máximo". Valor predeterminado: 10 horas.

Tolerancia máxima para la sincronización de relojes de equipos

El KDC reloj del servidor y reloj del cliente de Kerberos tienen que estar sincronizada para dentro de un número especificado de minutos. Si los relojes no están sincronizados en el número de minutos especificado, los vales no se emiten al cliente. Se trata de un obstáculo en ataques de reproducción. Configuración está en minutos. Valor predeterminado: 5 minutos.

Vigencia máxima del vale de usuario

"Vale de usuario" es un TGT y debe renovarse después de este tiempo. Valor predeterminado: 10 horas.
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 232179 - Última revisión: martes, 27 de febrero de 2007 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Palabras clave: 
kbmt kbenv kbinfo KB232179 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 232179
(http://support.microsoft.com/kb/232179/en-us/ )
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio