Respuestas a preguntas frecuentes de Kerberos

Este artículo ofrece respuestas a las preguntas más frecuentes sobre la implementación de Microsoft Windows 2000 del protocolo de autenticación Kerberos V5.

Pregunta

¿Es la implementación de Kerberos de Windows 2000 puede interoperar con otras implementaciones de Kerberos?

Respuesta

La implementación de Kerberos en Windows 2000 se desarrolló según las siguientes RFC:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Mecanismo de Kerberos V5 GSSAPI

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Pruebas con MIT Kerberos versiones 1.0.5, 1.0.6 y 1.1.1 indican que existe interoperabilidad para un número de escenarios que se describen en el siguiente artículo de interoperabilidad de Kerberos en Windows 2000: También se ha producido pruebas de interoperabilidad con implementaciones Heimdal CyberSafe, IBM y Sun.

La implementación de Kerberos de Microsoft Windows 2000 es compatible con las siguientes RFC: La implementación de Kerberos V5 de Microsoft Windows 2000 no contiene compatibilidad con Kerberos V4.

Pregunta

¿Cómo instalación una confianza entre territorios a un dominio de Windows 2000?

Respuesta

Los pasos descritos en la guía detallada de Kerberos 5 (krb5 1.0) interoperabilidad:

Pregunta

¿Windows 2000 admite Kadmin?

Respuesta

No, Windows 2000 admite el protocolo ligero de acceso a directorios (LDAP) para la administración de cuenta.

Pregunta

¿Qué contraseña cambiar protocolo admite Windows 2000 para clientes de Kerberos?

Respuesta

Windows 2000 implementa el protocolo Kerberos cambiar contraseña como se describe en el borrador de Internet draft-ietf-cat-kerb-chg-password-02.txt. Este protocolo también se implementa en MIT krb5-1.1.1.

Nota Puede encontrar una copia del borrador de Internet mencionado anteriormente en el vínculo de archivo de ejemplo al final de este vínculo de página Web.

Pregunta

¿Cómo Windows 2000 busque los centros de distribución de claves (KDC)?

Respuesta

Uso de los clientes de Windows 2000 Sistema de nombres de dominio (DNS) servidor registra los para localizar controladores de dominio en un dominio y intentan resolver los registros SRV de _ldap._tcp.dc._msdcs. Controladores de dominio de Windows 2000 también publican registros SRV para servicios _kerberos y _kpasswd. La lista de servidor publicado se pueden encontrar registros en un controlador de dominio en el siguiente archivo:

Pregunta

¿Windows 2000 admite aplicación de servicio de seguridad general de programación GSSAPI (interfaz) (RFC-2743)?

Respuesta

Microsoft admite la seguridad soporte proveedor (SSPI) que es semánticamente similar a la GSSAPI pero sintácticamente diferentes. Para información adicional acerca de SSPI, consulte Windows Platform SDK. El protocolo utilizado por el proveedor de soporte de seguridad de Kerberos (SSP) es igual que utilizar el mecanismo de GSSAPI Kerberos5 definido en la solicitud siguiente:

Pregunta

¿Windows 2000 admite interfaces de programación de aplicaciones de Krb5 (API) s?

Respuesta

Nº Las interfaces sólo de Kerberos que admite Windows 2000 a través de la SSPI y las interfaces de vale LsaCallAuthenticationPackage() documentadas en Windows Platform SDK. Las interfaces SSPI son equivalentes a la GSSAPI de Kerberos y generar una aplicación que utiliza la GSSAPI/kerberos5 mechtype (RFC-1964) en el cable. Las interfaces de paquete LsaCallAuthentication proporcionan un mecanismo para recuperar los vales de la caché de vales Kerberos.

Pregunta

¿Qué extensiones Microsoft realiza Kerberos?

Respuesta

Microsoft ha implementado las siguientes extensiones que se publican como borradores de Internet de IETF:

Establecer contraseña de Kerberos protocol?

Pregunta

¿Qué es que los datos de autorización del vale de Kerberos?

Respuesta

Los datos de autorización en el vale de Kerberos se diseñó por los autores RFC siguientes para implementar la autorización específica del proveedor de datos: Windows 2000 utiliza este campo para almacenar datos específicos de su mecanismo de seguridad distribuida. Esto se describe en las páginas de guía de sistemas distribuidos de Windows 2000 Server 667 669. Información sobre el uso previsto del campo de autorización se encuentra en la solicitud siguiente:

Pregunta

¿Cómo mantener sincronizados los relojes de sistema Windows 2000?

Respuesta

Los clientes de Windows 2000 utilizan la siguiente versión de red simple protocolo de tiempo (SNTP): Sincronización de hora utiliza el horario universal coordinado (UTC) que es la zona horaria independiente. Un equipo determina su origen de hora siguiendo un algoritmo complejo que implican sitios, dominios, FSMO de PDC y servidores de hora confiable. El servicio de hora se controla mediante el comando net time . El acto de unirse a un dominio habilita el servicio de hora de Windows 2000 para que se inicie automáticamente al iniciar. Cuando se comunica con equipos con Windows 2000, los paquetes de tiempo están protegidos con un hash con signo de la información de hora. Seguridad se basa en el canal seguro de Windows NT y clave de firma se determina mediante la cuenta de equipo del cliente.

Pregunta

¿Qué tipos de cifrado se admite en Windows 2000?

Respuesta

Windows 2000 admite los siguientes tipos de cifrado:

RC4-HMAC

DES-CBC-CRC

DES-CBC-MD5

Pregunta

¿Cómo puedo encontrar fuera de los vales de Kerberos tiene?

Respuesta

Los vales Kerberos se mantienen en caché de vales por la LSA y se destruye la caché cuando el usuario cierra la sesión. Sólo el usuario que ha iniciado la sesión tiene acceso a los vales en la caché. Las utilidades del Kit de recursos Klist.exe o Kerbtray.exe pueden utilizarse para examinar los vales en la caché.

Pregunta

¿Windows 2000 admite Pkinit?

Respuesta

Kerberos de Windows 2000 proporciona una implementación de la versión de borrador Pkinit 9. Está restringido el uso específico de Pkinit en Windows 2000 para admitir el inicio de sesión de tarjeta inteligente. No se ha probado pkinit con otras implementaciones desde el lanzamiento de Windows 2000.

Pregunta

¿Cuáles son las duraciones de vale predeterminadas?

Respuesta

La duración de vale predeterminada se controla en el nivel de dominio mediante Directiva de dominio. Los valores predeterminados son:

• MaxServiceTicketAge: 10 horas
• MaxTicketAge: 10 horas
• MaxRenewAge: 7 días
  
• MaxClockSkew: 5 minutos
  

Pregunta

¿Qué significa Forzar restricciones de inicio de sesión ?

Respuesta

Hay un valor de la directiva de Kerberos denominada Exigir restricciones de inicio de sesión . Con esta configuración habilitada, cada vez que un usuario utiliza un vale-concede de vales (TGT) para la solicitud de un vale, la cuenta se comprueba si sigue siendo válida. Que podrían impedir que una cuenta deshabilitada obtener vales de sesión nueva.

Pregunta

¿Cómo uso la delegación?

Respuesta

Delegación permite que un servicio para actuar como usuario con acceso del usuario a los recursos de red. Esto requiere que el cliente reenvía el TGT de un usuario al servicio para que pueden solicitar vales desde un KDC en el nombre del usuario. Puesto que el servicio es capaz de actuar como el usuario, es importante que el servicio estar confianza antes de asignarle su TGT. Windows 2000 tiene controles que pueden limitar al servicio proporciona un TGT de usuario cuando se solicita la delegación.

Las revisiones de Kerberos en borrador de Internet se especifica un nuevo indicador vale - "Aceptar como delegado". El KDC de Windows 2000 establece este indicador en vales de servicio que tienen el indicador de control de cuenta de confianza para delegación establecido. Si el vale de servicio tiene activado el indicador Aceptar como delegado , la SSPI reenvía el TGT del usuario al servicio si el programa SSPI solicita la delegación. Si no se establece el indicador de vale, a continuación, se omite el indicador de delegación de SSPI y no se reenvía el TGT.

Si está ejecutando con un KDC que no se establece el indicador de vale, puede establecer la RealmFlags en la configuración del registro para el territorio externo de confianza de territorio para la delegación. Establecer el indicador RealmFlags en un valor de 4 habilita esta característica.

Para información adicional acerca del valor del registro de RealmFlags, vea la referencia de registro de 2000 de Windows (Regentry.chm) incluye en el Kit de recursos de Windows 2000.

Pregunta

¿Windows 2000 admite SPNEGO (RFC-2478)?

Respuesta

Sí. La interfaz Negociar SSP implementa SPNEGO. La interfaz Negociar SSP es el paquete común de predeterminada que utilizan la mayoría de los programas en Windows 2000.

Pregunta

¿Son clientes Telnet y transferencia de archivos (FTP) en Windows 2000 Kerberized?

Respuesta

Los servicios Telnet y FTP en Windows 2000 no utilizan Kerberos para la autenticación.

Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.