Réponses aux questions fréquemment posées de Kerberos

Traductions disponibles Traductions disponibles
Numéro d'article: 266080 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article répond aux questions les plus fréquentes sur l'implémentation de Microsoft Windows 2000 du protocole d'authentification Kerberos V5.

Plus d'informations

Question

L'implémentation de Kerberos Windows 2000 est interopérable avec les autres implémentations de Kerberos ?

Réponse

La mise en ?uvre de Kerberos Windows 2000 a été développé en fonction des RFC suivantes :

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Mécanisme de Kerberos V5 GSSAPI

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Test avec MIT Kerberos versions 1.0.5, 1.0.6 et 1.1.1 indiquent l'existence d'interopérabilité pour un certain nombre de scénarios décrits dans le livre blanc Windows 2000 Kerberos interopérabilité suivant :
http://technet.microsoft.com/en-us/library/bb742432.aspx
Tests d'interopérabilité a également s'est produite avec les implémentations Heimdal, CyberSafe, IBM et Sun.

L'implémentation de Microsoft Windows 2000 Kerberos est compatible avec les RFC suivantes :
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
La mise en ?uvre de Microsoft Windows 2000 de Kerberos V5 ne contient pas de prise en charge de Kerberos V4.

Question

Configuration d'une approbation entre domaines à un domaine Windows 2000

Réponse

La procédure est décrite dans le Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability :
http://technet.microsoft.com/en-us/library/bb742433.aspx

Question

Windows 2000 prend-il en charge Kadmin ?

Réponse

Non, Windows 2000 prend en charge Lightweight Directory Access Protocol (LDAP) pour l'administration de compte.

Question

Quel protocole de modification de mot de passe Windows 2000 prend-il en charge pour les clients Kerberos ?

Réponse

Windows 2000 implémente le protocole Kerberos modifier le mot de passe comme décrit dans le document préliminaire Internet draft-ietf-cat-kerb-chg-password-02.txt. Ce protocole est également implémenté dans MIT krb5-1.1.1.

Remarque Vous trouverez une copie du document préliminaire Internet référencé ci-dessus dans le lien de fichier d'exemple au bas de ce lien de page Web.

Question

Comment Windows 2000 localise les centres de distribution de clés (KDC) ?

Réponse

Utilisation de clients Windows 2000 enregistre les DNS (Domain Name System) (DNS) SRV pour localiser les contrôleurs de domaine dans un domaine et ils cherche à résoudre les enregistrements SRV _ldap._tcp.dc._msdcs. LES enregistrements SRV pour services _kerberos et _kpasswd également publier des contrôleurs de domaine Windows 2000. La liste de SRV publié enregistrements se trouvent sur un contrôleur de domaine dans le fichier suivant :
%Windir%\System32\Config\Netlogon.DNS

Question

Windows 2000 prend en charge général Security Service Application Programming Interface GSSAPI () (RFC-2743) ?

Réponse

Microsoft prend en charge le support provider interface SSPI (Security) qui est sémantiquement similaire à la GSSAPI mais syntaxiquement différente. Pour plus d'informations sur SSPI, consultez le Kit de développement Windows Platform SDK de Microsoft. Le protocole utilisé par Kerberos SSP (Security Support Provider) est identique à celui utilisé par le mécanisme GSSAPI Kerberos5 défini dans les RFC suivante :
http://www.ietf.org/rfc/rfc1964.txt?number=1964

Question

Windows 2000 prend en charge Krb5 Interfaces de programmation d'applications (API) s ?

Réponse

Non. Les interfaces de Kerberos seuls qui prend en charge de Windows 2000 est via l'interface SSPI et les interfaces de ticket LsaCallAuthenticationPackage() documentés dans le Kit de développement Windows Platform SDK. Les interfaces SSPI sont équivalentes à la GSSAPI Kerberos et produire une application qui utilise le GSSAPI/kerberos5 mechtype (RFC-1964) sur le réseau. Les interfaces de package LsaCallAuthentication fournissent un mécanisme pour extraire des tickets de la mémoire cache des tickets Kerberos.

Question

Les extensions Microsoft n'a apporter à Kerberos ?

Réponse

Microsoft a mis en ?uvre les extensions suivantes qui sont publiées en tant que brouillons Internet de IETF :

Kerberos définir le mot de passe protocol?
http://www.ietf.org/rfc/rfc3244.txt

Question

Que contient les données d'autorisation du ticket Kerberos ?

Réponse

Les données d'autorisation dans le ticket Kerberos a été destinées par les auteurs RFC suivantes pour implémenter des données spécifiques au fournisseur d'autorisation :
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Windows 2000 utilise ce champ pour contenir les données spécifiques à son mécanisme de sécurité distribuée. Cette procédure est décrite dans les pages de Windows 2000 Server Distributed Systems Guide 667 669. Vous trouverez des informations sur utilisation prévue du champ d'autorisation dans la RFC suivante :
http://www.ietf.org/rfc/rfc1510.txt?number=1510

Question

Comment Windows 2000 conserve les horloges système de synchronisation ?

Réponse

Clients Windows 2000 utilisent la version suivante de Simple Network Protocol (SNTP Time) :
http://www.ietf.org/rfc/rfc1769.txt?number=1769
Synchronisation de l'heure utilise temps universel UTC (Coordinate) qui est indépendant de fuseau horaire. Un ordinateur détermine sa source de temps en suivant un algorithme complexe impliquant sites, domaines, FSMO de contrôleur principal de domaine et serveurs de temps fiable. Le service de temps est contrôlé en utilisant la commande net time. L'acte d'adhésion à un domaine permet au service de temps de Windows 2000 pour qu'il démarre automatiquement au démarrage. Lors de la communication avec les ordinateurs Windows 2000, les paquets de temps sont sécurisés avec un hachage signé de l'indication d'heure. La sécurité est basée sur le canal sécurisé de Windows NT et clé de signature est déterminée par le compte machine du client.

Question

Quels types de cryptage pris en charge par Windows 2000 ?

Réponse

Windows 2000 prend en charge les types de cryptage suivants :

HMAC RC4

DES-CBC-CRC

DES-CBC-MD5

Longueurs de clé de cryptage Kerberos :
Réduire ce tableauAgrandir ce tableau
AuthentificationSignatureConfidentialité
HMAC RC412812856 (128 avec High Encryption Pack installé
DES-CBC-CRC565656
DES-CBC-MD5565656

Question

Comment trouver les tickets Kerberos, j'ai ?

Réponse

Les tickets Kerberos sont conservés dans le cache du ticket par le LSA et le cache est détruit lorsque l'utilisateur se connecte. Seul l'utilisateur connecté a accès aux tickets dans le cache. Les utilitaires du Kit de ressources Klist.exe ou Kerbtray.exe peuvent servir à examiner les tickets dans le cache.

Question

Windows 2000 prend-il en charge Pkinit ?

Réponse

Kerberos Windows 2000 fournit une implémentation de la version de brouillon Pkinit 9. L'utilisation précise de Pkinit dans Windows 2000 est limitée à carte à puce d'ouverture de session de prise en charge. Pkinit n'a pas été testé avec d'autres implémentations depuis la version de Windows 2000.

Question

Quelles sont les durées de vie du ticket par défaut ?

Réponse

La durée de vie des tickets par défaut est contrôlées au niveau du domaine par à l'aide de stratégie de domaine. Les valeurs par défaut sont :
  • MaxServiceTicketAge : 10 heures
  • MaxTicketAge : 10 heures
  • MaxRenewAge: 7 jours
  • MaxClockSkew: 5 minutes

Question

Que signifie Appliquer les restrictions de connexion ?

Réponse

Il existe un paramètre pour la stratégie Kerberos nommée Appliquer des restrictions d'ouverture de session. Si ce paramètre est activé, chaque fois qu'un utilisateur utilise un ticket-accord-ticket (TGT) à la demande de ticket, le compte est vérifié pour voir si elle est toujours valide. Un compte désactivé qui empêcheraient d'obtenir des tickets de session de nouveau.

Question

Comment utiliser la délégation ?

Réponse

Délégation permettre à un service en tant que l'utilisateur avec accès de cet utilisateur aux ressources réseau. Cela nécessite que le client transférer le TGT d'un utilisateur au service afin que qu'il puisse demander des tickets à partir d'un KDC sur le nom de l'utilisateur. Dans la mesure où le service est en mesure d'agir en tant qu'utilisateur, il est important que le service d'être approuvé que lui donnant un TGT. Windows 2000 a des contrôles qui peuvent limiter lorsqu'un service fournit TGT de l'utilisateur lors de la délégation est demandée.

Les révisions Kerberos brouillon Internet Spécifie un nouvel indicateur de ticket-«OK comme délégué». Windows 2000 KDC définit cet indicateur dans les tickets de service dont l'indicateur de contrôle de compte approuvé pour délégation définie. Si le ticket de service a l'indicateur de OK en tant que délégué défini, l'interface SSPI transmet le TGT de l'utilisateur au service si le programme SSPI demandé délégation. Si l'indicateur de ticket n'est pas définie, l'indicateur de délégation SSPI est ignoré et le TGT n'est pas transféré.

Si vous exécutez un KDC ne définit pas l'indicateur de ticket, vous pouvez définir la RealmFlags dans la configuration du Registre pour le domaine externe d'approuver le domaine pour la délégation. Définir l'indicateur RealmFlags sur une valeur de 4 active cette fonctionnalité.

Pour plus d'informations sur le paramètre de Registre RealmFlags, consultez le Windows 2000 Registry Reference (Regentry.chm) inclus dans le Kit de ressources techniques Windows 2000.

Question

Windows 2000 prend-il en charge SPNEGO (RFC-2478) ?

Réponse

Oui. Negotiate SSP implémente SPNEGO. Negotiate SSP est le package par défaut courantes qui utilisent de la plupart des programmes dans Windows 2000.

Question

Vous clients Telnet et FTP (File Transfer Protocol) dans Windows 2000 Kerberos ?

Réponse

Les services Telnet et FTP dans Windows 2000 n'utilisent pas Kerberos pour l'authentification.

Les produits de tierce partie cet article traite sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft n'accorde aucune garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.

Propriétés

Numéro d'article: 266080 - Dernière mise à jour: mercredi 28 février 2007 - Version: 7.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbmt kb3rdparty kbfaq kbinfo kbkerberos KB266080 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 266080
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com