Администрирование Kerberos в Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке)

Переводы статьи Переводы статьи
Код статьи: 232179 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Реализация Windows 2000 протокол проверки подлинности Kerberos не требуется расширенная администрирования и конфигурации. Поскольку пакет проверки подлинности по умолчанию, он устанавливается автоматически на всех компьютерах под управлением Microsoft Windows 2000. За исключением смарт-карты Kerberos производится обычно автоматически и его настройка не требуется. Существует очень мало параметров политики, могут быть применены к Kerberos. Сетевой монитор не поддерживает встроенные синтаксического анализа и так как большинство Kerberos трафик шифруется, трассировки не очень revealing и поэтому не очень полезна. В данной статье описывается администрирование протокола Kerberos.

Дополнительная информация

Две программы включены для администрирования Kerberos: KerbTray и NetDom.

KerbTray

KerbTray используется для отображения сведений о билет для данного компьютера, использующих протокол Kerberos. Значок KerbTray находится на панели задач (в правой части панели задач) и может использоваться для просмотра и очистить кэш билетов. Чтобы использовать KerbTray, щелкните правой кнопкой мыши значок и нажмите кнопкуСписок билеты-или-Очистить билеты. При просмотре кэш билетов следующие флаги сопоставить флаги столбцов:
  • F = forwardable
  • f = пересылки
  • P = proxiable
  • p = прокси
  • D = может postdate
  • d = postdated
  • I = недопустимый
  • R = возобновляемым
  • I = начальный
  • H = проверку оборудования
  • = Pre-authenticated
  • L = OK представитель

По умолчанию флаг билета

  • Билет предоставления билета или билет TGT (первый билет перечисленных): FPRI (Forwardable Proxiable, Renewable и переменные).
  • Для билеты сеансов (во втором и третьем списке билеты): FPR (Forwardable Proxiable и Renewable).

NetDom

NetDom является средством Resource Kit для манипулирования безопасных каналов между серверами, серверами и серверами, на рабочих станциях. В Windows 2000 NetDom является средством, проверка для серверов домена и доверительные отношения. Он был изменен также позволяет сбрасывать транзитивные доверительные отношения Kerberos.

Параметры политики Kerberos

В Windows 2000 политики Kerberos определяется на уровне домена и реализуется путем домена центр распространения ключей (KDC). Политики Kerberos хранится в Active Directory как подмножество атрибутов в политике безопасности домена. По умолчанию параметры политики могут быть установлены только членами группы «Администраторы домена».

Политики Kerberos в политику домена по умолчанию и включает следующие параметры:

Применить ограничения входа пользователей

Если этот параметр включен, KDC проверяет каждый запрос билета сеанса, изучив политика прав пользователей на конечном компьютере, чтобы убедиться, что пользователь имеет право локального входа в систему или получить доступ к компьютеру из сети. Это также флажок, чтобы убедиться, что запрашивающая учетная запись действительна. Проверка является необязательным, так как дополнительный шаг требует времени и может замедлить сетевой доступ к службам. Значение по умолчанию: включен.

Максимальное время жизни, может быть обновлен билета пользователя

Это максимальный срок жизни билета (TGT или сеанса билетов, несмотря на то, что политика указывает, что это «билета пользователя»). Билет не могут быть обновлены после этого времени. Значение по умолчанию: 7 дней.

Максимальное время жизни билета службы

«Билета службы» имеет билет сеанса. Параметры, в минутах. Значение должно быть больше, чем в десять минут и меньше, чем значение параметра "Жизни билета пользователя максимум". Значение по умолчанию: 10 часов.

Максимальное отклонение для синхронизации из часы компьютера

На сервере KDC часов и часов клиент Kerberos требуется синхронизируются в течение указанного числа минут. Если часы не синхронизированы в течение указанного количества минут, клиенту не выдаются билеты. Это deterrent в атак воспроизведения. Параметры, в минутах. Значение по умолчанию: 5 минут.

Максимальное время жизни билета пользователя

«Билета пользователя» имеет билет TGT и должен быть обновлен после этого времени. Значение по умолчанию: 10 часов.

Свойства

Код статьи: 232179 - Последний отзыв: 17 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbenv kbinfo kbmt KB232179 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:232179

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com