Antworten auf häufig gestellte Fragen für Kerberos

Dieser Artikel beantwortet häufig gestellte Fragen zur Microsoft Windows 2000-Implementierung des Kerberos V5-Authentifizierungsprotokoll.

Frage

Ist die Windows 2000-Implementierung Interoperabilität mit anderen Implementierungen von Kerberos?

Antwort

Die Windows 2000-Implementierung von Kerberos wurde basierend auf den folgenden RFCs entwickelt:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

GSSAPI Kerberos V5-Mechanismus

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Testen mit Kerberos Versionen 1.0.5, 1.0.6 und 1.1.1 anzeigt, dass Interoperabilität für eine Reihe von Szenarien vorhanden ist, die in der folgenden Windows 2000 Kerberos-Interoperabilität Whitepaper beschrieben werden: Überprüfung der Interoperabilität ist auch mit Heimdal, CyberSafe, IBM und so Implementierungen aufgetreten.

Die Microsoft Windows 2000-Implementierung ist kompatibel mit den folgenden RFCs sind: Die Microsoft Windows 2000-Implementierung des Kerberos V5 enthält keine Unterstützung für Kerberos Version 4.

Frage

Wie kann ich eine Cross Bereichsvertrauensstellung zu einer Windows 2000-Domäne einrichten?

Antwort

Die Schritte sind in der schrittweisen Anleitung zu Kerberos 5 beschriebenen (krb5 1.0) Interoperability:

Frage

Unterstützt Windows 2000 Kadmin?

Antwort

Nein, Windows 2000 unterstützt LDAP (LDAP) für die Konto-Verwaltung.

Frage

Welche Kennwort ändern-Protokoll unterstützt Windows 2000 für Kerberos-Clients?

Antwort

Windows 2000 implementiert das Protokoll Kerberos-Kennwortänderung wie in der draft-ietf-cat-kerb-chg-password-02.txt Draft beschrieben. Dieses Protokoll wird auch in MIT krb5-1.1.1 implementiert.

Hinweis: Eine Kopie der Draft oben verwiesen befinden sich in der Beispiel-Datei-Verknüpfung am unteren Rand dieser Seite Link.

Frage

Wie findet Windows 2000 Key Distribution Center (KDCs)?

Antwort

Windows 2000-Clients verwenden Domain Name System (DNS) SRV zeichnet zum Suchen nach Domänencontrollern in einer Domäne, und Sie versuchen, die _ldap._tcp.dc._msdcs SRV-Einträge auflösen. Windows 2000-Domänencontrollern veröffentlichen auch SRV-Einträge für _kerberos und _kpasswd Dienste. Die Liste der veröffentlichten SRV können Datensätze auf einem Domänencontroller in der folgenden Datei gefunden werden:

Frage

Unterstützt Windows 2000 Allgemein Security Service Application Programming Interface (GSSAPI) (RFC-2743)?

Antwort

Microsoft unterstützt die Security Support Provider Interface (SSPI) also die GSSAPI semantisch ähnlich, aber syntaktisch verschiedene. Weitere Informationen zu SSPI finden finden Sie im Microsoft Windows Platform SDK. Das Protokoll von Kerberos Security Support Provider (SSP) entspricht, die von den in der folgenden RFC definierten GSSAPI-Kerberos5-Mechanismus verwendet:

Frage

Unterstützt Windows 2000 Krb5 Application Programming Interface (API) s?

Antwort

Nein. Die nur Kerberos-Schnittstellen, die Windows 2000 unterstützt über die SSPI sind und die LsaCallAuthenticationPackage()-Ticket-Schnittstellen im Windows Plattform-SDK dokumentiert. Die SSPI-Schnittstellen sind gleichbedeutend mit der Kerberos-GSSAPI und erzeugen Sie eine Anwendung, die GSSAPI/kerberos5 verwendet Mechtype (RFC-1964) auf der Leitung. Die LsaCallAuthentication Paket Schnittstellen bieten einen Mechanismus zum Abrufen von Tickets aus der Kerberos-Ticket-Cache.

Frage

Welche Erweiterungen vornehmen Microsoft Kerberos?

Antwort

Microsoft hat die folgenden Erweiterungen implementiert, die als Internetentwürfe IETF veröffentlicht werden:

Kerberos-Kennwort festlegen protocol?

Frage

Was ist in den Kerberos-Ticket-Autorisierungsdaten?

Antwort

Die Autorisierungsdaten in Kerberos-Ticket wurde durch die folgenden RFC-Autoren vorgesehen, um herstellerspezifische Autorisierungsdaten zu implementieren: Windows 2000 verwendet dieses Feld, um Daten speziell für die verteilte Sicherheitsmechanismus zu speichern. Dies wird in den Windows 2000 Server Distributed Systems Guide Seiten 667 669 beschrieben. Informationen über beabsichtigte Verwendung des Feldes Autorisierung befindet sich in der folgenden RFC:

Frage

Wie halten Windows 2000 Systemuhren synchronisiert?

Antwort

Windows 2000-Clients verwenden Sie die folgende Version von Simple Network Time Protocol (SNTP): Synchronisierung der Uhrzeit verwendet Universal Time Coordinate (UTC) die Zeitzone unabhängig ist. Ein Computer bestimmt die Zeitquelle durch folgende eines komplexen Algorithmus Geschäftsvorfällen mit Standorten, Domänen, PDC-FSMO und Reliable Time Server. Der Zeitdienst wird mithilfe des Befehls net Time gesteuert. Der Vorgang der Beitritt zu einer Domäne aktiviert Windows 2000-Zeitdienst, sodass automatisch beim Start gestartet wird. Bei der Kommunikation mit Windows 2000-Computern werden Pakete immer mit einem signierten Hash der Informationen zur geschützt. Sicherheit basiert auf den sicheren Kanal Windows NT und Signaturschlüssel wird durch das Computerkonto des Clients bestimmt.

Frage

Unterstützt welche Verschlüsselung Windows 2000?

Antwort

Windows 2000 unterstützt die folgenden Typen Verschlüsselung:

RC4-HMAC

DES-CBC-CRC

DES-CBC-MD5

Frage

Wie finde ich habe ich, welche Kerberos-Tickets?

Antwort

Die Kerberos-Tickets werden von der LSA im Ticket-Cache gespeichert, und der Cache wird zerstört, wenn der Benutzer abmeldet. Nur der angemeldete Benutzer hat Zugriff auf die Tickets im Cache. Die Resource Kit-Dienstprogramme, Klist.exe oder des Dienstprogramms "Kerbtray.exe" können verwendet werden, die Tickets im Cache zu untersuchen.

Frage

Unterstützt Windows 2000 Pkinit?

Antwort

Windows 2000-stellt eine Implementierung der Pkinit Entwurfsversion 9. Die spezielle Verwendung von Pkinit in Windows 2000 ist eingeschränkt, zur Unterstützung von SmartCard-Anmeldung. Pkinit wurde nicht mit anderen Implementierungen seit der Veröffentlichung von Windows 2000 getestet.

Frage

Was sind die Gültigkeitsdauer von Tickets Standard?

Antwort

Die standardmäßige Gültigkeitsdauer von Tickets werden auf Domänenebene mithilfe von Domänenrichtlinien gesteuert. Die Standardwerte sind:

• MaxServiceTicketAge: 10 Stunden
• MaxTicketAge: 10 Stunden
• MaxRenewAge: 7 Tage
  
• MaxClockSkew: 5 Minuten
  

Frage

Was bedeutet Anmeldung Einschränkungen erzwingen ?

Antwort

Es ist eine Einstellung für die Kerberos-Richtlinie Erzwingen der Anmeldung für aufgerufen. Diese Einstellung aktiviert ist, jedes Mal ein Benutzer ein Ticket-genehmigendes Ticket Granting-Ticket (TGT) auf Anforderung verwendet wird ein Ticket, das Konto geprüft noch gültig ist. Würde ein deaktiviertes Konto verhindern neue Sitzungstickets.

Frage

Wie kann ich die Delegierung verwenden?

Antwort

Delegierung ermöglicht einen Dienst, als der Benutzer mit Zugriff auf Netzwerkressourcen, die Benutzer. Dies erfordert, dass den Client TGT eines Benutzers an den Dienst weiterleiten, sodass Tickets von einem KDC im Auftrag des Benutzers anfordern kann. Da der Dienst als Benutzer fungieren kann, ist es wichtig, dass der Dienst vertrauenswürdigen sein, bevor Ihr TGT. Windows 2000 zuweisen Steuerelemente verfügt, die einschränken können, wenn ein Dienst TGT eines Benutzers bereitstellt, wenn die Delegierung angefordert wird.

Die Kerberos-Revisionen Draft gibt ein neues Ticket-Flag - "OK wie delegieren". Windows 2000-KDC wird dieses Flag im Service Tickets, die die für die Delegierung vertrauenswürdige Kontosteuerungsflag festgelegt haben. Verfügt das Dienstticket das OK wie der Delegat -Flag festgelegt, leitet der SSPI TGT an den Dienst des Benutzers, wenn SSPI-Programm Delegierung angefordert. Wenn das Ticket-Flag nicht festgelegt ist, die Delegierung SSPI-Flag wird ignoriert, und das TGT wird nicht weitergeleitet.

Wenn Sie mit einem KDC ausführen, die nicht das Ticket-Flag festgelegt ist, können Sie die RealmFlags in der Registrierungskonfiguration für externe Bereichsnamen, um den Bereich für die Delegierung vertrauenswürdig festlegen. Festlegen der RealmFlags-Flag auf einen Wert von 4 wird dieses Feature aktiviert.

Weitere Informationen über die Registrierungseinstellung RealmFlags finden Sie in der Windows 2000 Registry Reference (regentry.chm) in Windows 2000 Resource Kit enthalten.

Frage

Unterstützt Windows 2000 SPNEGO (RFC-2478)?

Antwort

ja. Der Aushandlungs-SSP implementiert SPNEGO. Der Aushandlungs-SSP ist das allgemeine Standardpaket, das meisten Programme in Windows 2000 verwenden.

Frage

Sind Sie Telnet und FTP (File Transfer Protocol)-Clients in Windows 2000 kerberisiert?

Antwort

Die Telnet und FTP-Dienste in Windows 2000 verwenden Kerberos nicht für die Authentifizierung.

Die in diesem Artikel erwähnten Fremdanbieterprodukte werden von einem Lieferanten hergestellt, der von Microsoft unabhängig ist. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.