Odpovědi na nejčastější dotazy Kerberos

Překlady článku Překlady článku
ID článku: 266080 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek poskytuje odpovědi na časté otázky o implementaci systému Windows 2000 ověřovací protokol Kerberos V5.

Další informace

Otázka

Windows 2000 Kerberos implementace je interoperabilní s jinými implementacemi Kerberos?

Odpověď

Implementace systému Windows 2000 Kerberos byl vyvinut na základě následujících RFC:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Mechanismus GSSAPI Kerberos V5

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Testování MIT Kerberos verze 1.0.5 1.0.6 a 1.1.1 označují, že pro číslo scénáře, které jsou popsány v následující dokument Windows 2000 Kerberos interakce existuje spolupráce:
http://technet.microsoft.com/en-us/library/bb742432.aspx
Testování spolupráce došlo také s implementacemi Heimdal, CyberSafe, IBM a Sun.

Microsoft Windows 2000 Kerberos implementace je kompatibilní s následující dokumenty RFC:
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
Implementace systému Windows 2000 Kerberos V5 neobsahuje podporu pro Kerberos V4.

Otázka

Nastavení důvěryhodnosti sféry mezi domény systému Windows 2000

Odpověď

Kroky jsou podrobně popsány v Step-by-Step Guide to Kerberos 5 (krb5 1.0) spolupráce:
http://technet.microsoft.com/en-us/library/bb742433.aspx

Otázka

Podporuje systém Windows 2000 Kadmin?

Odpověď

Ne, systém Windows 2000 podporuje protokolu LDAP (LDAP) pro správu účtu.

Otázka

Jaké heslo Změna protokol systému Windows 2000 podporuje pro klienty Kerberos?

Odpověď

Windows 2000 implementuje protokol Kerberos změnit heslo popsaným v konceptu Internetu draft-ietf-cat-kerb-chg-password-02.txt. Tento protokol je také implementována v MIT krb5 1.1.1.

Poznámka: V ukázkové propojení souboru v dolní části této webové stránce odkaz nebyl nalezen kopii konceptu Internetu odkazované výše.

Otázka

Jak systémem Windows 2000 vyhledejte centra distribuce klíčů (KDCs)?

Odpověď

Klienti systému Windows 2000 použijte záznamy SRV název služby DNS k vyhledání řadičů domény v doméně a pokus o vyřešit záznamy SRV _ldap._tcp.dc._msdcs. Řadiče domény Windows 2000 publikovat také záznamy SRV služby _kerberos a _kpasswd. V seznamu z publikované SRV záznamy nalezen na řadiči domény v následující soubor:
%Windir%\System32\Config\Netlogon.DNS

Otázka

Windows 2000 podporují obecné Security Service Application Programming Interface (GSSAPI) (RFC-2743)?

Odpověď

Společnost Microsoft podporuje zabezpečení Support Provider Interface (SSPI) je sémanticky podobné GSSAPI ale syntakticky různé. Další informace o SSPI naleznete v tématu Microsoft Windows Platform SDK. Protokol používaný podle Kerberos Security Support Provider (SSP) je stejný jako použit mechanismus GSSAPI Kerberos5 definována v RFC následující:
http://www.ietf.org/rfc/rfc1964.txt?number=1964

Otázka

Windows 2000 podporují Krb5 Application Programming Interfaces (API) s?

Odpověď

NO,. Pouze rozhraní Kerberos, které jsou až SSPI systému Windows 2000 podporuje a rozhraní lístek LsaCallAuthenticationPackage() dokumentovány v Windows Platform SDK. Rozhraní SSPI jsou ekvivalentní Kerberos GSSAPI a vyrobit aplikace používající GSSAPI/kerberos5 podél mechtype (RFC-1964). Rozhraní balíček LsaCallAuthentication poskytují mechanismus načíst z mezipaměti lístku Kerberos lístky.

Otázka

Jaké rozšíření Microsoft provést Kerberos?

Odpověď

Společnost Microsoft provedla implementaci následující rozšíření, které jsou publikovány jako IETF internetové koncepty:

Nastavit heslo Kerberos protocol?
http://www.ietf.org/rfc/rfc3244.txt

Otázka

Co je data autorizace lístku Kerberos?

Odpověď

Data autorizace v lístku Kerberos byla určena následující autory RFC implementovat data autorizace pro dodavatele:
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Systém Windows 2000 používá toto pole k uchování dat konkrétní jeho mechanismus distribuované zabezpečení. Toto je popsána v 667 669 stránek Windows 2000 Server distribuované systémy Guide. Informace o zamýšleného použití pole autorizace je umístěn v následující RFC:
http://www.ietf.org/rfc/rfc1510.txt?number=1510

Otázka

Jak systémem Windows 2000 zachovat systémové hodiny synchronizovány?

Odpověď

Klienti systému Windows 2000 použijte následující verze Simple Network Time Protocol (SNTP):
http://www.ietf.org/rfc/rfc1769.txt?number=1769
Synchronizace času používá Universal Time (COORDINATE) je nezávislý na časové pásmo. Počítač Určuje svůj zdroj času pomocí následujících složité algoritmus zahrnující serverů, domén, PDC FSMO a Reliable časové servery. Časová služba je řízena pomocí příkazu net time. Provedení doméně umožňuje služba Systémový čas 2000 tak, aby se automaticky spustí při spuštění. Při komunikaci s počítačů se systémem Windows 2000, čas pakety zabezpečeny s podepsané hash časové informace. Zabezpečení je založeno na zabezpečený kanál WINDOWSNT a klíč podpis je určen účet počítače klienta.

Otázka

Jaké typy šifrování Windows 2000 podporují?

Odpověď

Systém Windows 2000 podporuje následující typy šifrování:

RC4 HMAC

DES CBC CRC

DES-CBC-MD5

Délky klíčů Kerberos šifrování:
Zmenšit tuto tabulkuRozšířit tuto tabulku
ověřování,PodepisováníOchrana osobních údajů
RC4 HMAC12812856 (128 s High Encryption Pack nainstalována
DES CBC CRC565656
DES-CBC-MD5565656

Otázka

Jak zjistím jaké jsou lístky Kerberos?

Odpověď

Lístky Kerberos jsou uchovávány v mezipaměti lístek podle LSA a při přihlášení uživatele zničen mezipaměti. Pouze přihlášený uživatel má přístup lístky v mezipaměti. Nástroje Resource Kit Klist.exe nebo Kerbtray.exe lze prověřit lístky v mezipaměti.

Otázka

Podporuje systém Windows 2000 Pkinit?

Odpověď

Windows 2000 Kerberos poskytuje implementaci Pkinit koncept verze 9. Konkrétní použití Pkinit v systému Windows 2000 je omezen na podpůrné SmartCard přihlášení. Pkinit nebyl testován s jinými implementacemi od vydání systému Windows 2000.

Otázka

Co jsou výchozí doby platnosti lístku?

Odpověď

Výchozí doby platnosti lístku jsou řízena na úrovni domény pomocí zásad domény. Výchozí hodnoty jsou:
  • MaxServiceTicketAge: 10 hodin
  • MaxTicketAge: 10 hodin
  • MaxRenewAge: 7 dní
  • MaxClockSkew: 5 minut

Otázka

Co znamená Vynutit omezení přihlášení?

Odpověď

Je nastavení zásad modulu Kerberos nazývá Vynutit omezení přihlášení. S toto nastavení povoleno pokaždé, když uživatel použije ticket-granting lístku (TGT) požadavek lístek účet je zaškrtnuto políčko Zobrazit, pokud je stále platný. Zakázaný účet, který by zabránit získání lístky nové relace.

Otázka

Použít delegování

Odpověď

Delegování umožňuje služba sloužit jako uživatel s daný uživatel přístup k síťovým prostředkům. To vyžaduje klienta předat TGT uživatele ke službě, že jej lze vyžádat lístky od KDC z uživatele. Protože služba je schopen pracovat jako uživatel, je důležité služba být důvěryhodné před poskytující lístek TGT. Windows 2000 má ovládacích prvků můžete omezit při služba poskytuje TGT uživatele při delegování požadováno.

Revize Kerberos Internet koncept Určuje nový příznak lístek - "OK jako delegovat". Windows 2000 KDC nastaví tento příznak v lístky služby, které mají důvěryhodné pro delegování účet řízení příznak nastavit. Lístek služby má nastaven příznak OK jako delegát, potom SSPI předá TGT uživatele ke službě Pokud SSPI program požadoval delegování. Pokud není nastaven příznak lístek, příznak SSPI delegování je ignorována a nejsou předávány TGT.

Pokud jsou spuštěny s KDC není nastaven příznak lístek, můžete nastavit v konfiguraci registru externí sféry důvěryhodnosti sféry pro delegování RealmFlags. Nastavení příznaku RealmFlags hodnotu 4 umožňuje tuto funkci.

Další informace o nastavení registru RealmFlags naleznete v Windows 2000 registru Reference (regentry.chm) součástí Windows 2000 Resource Kit.

Otázka

Podporuje systém Windows 2000 SPNEGO (RFC-2478)?

Odpověď

ANO. Negotiate SSP implementuje SPNEGO. Negotiate SSP je běžné balíček výchozí, použít většinu programů v systému Windows 2000.

Otázka

Klienty Telnet a File Transfer Protocol (FTP) jsou v Kerberized Windows 2000?

Odpověď

Služby Telnet a FTP v systému Windows 2000 nepoužívejte pro ověřování Kerberos.

Produkty třetích stran, o nichž se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Vlastnosti

ID článku: 266080 - Poslední aktualizace: 28. února 2007 - Revize: 7.5
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbmt kb3rdparty kbfaq kbinfo kbkerberos KB266080 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:266080

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com