Jawaban atas pertanyaan yang sering diajukan Kerberos

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 266080 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjawab pertanyaan yang sering diajukan tentang Microsoft Windows 2000 pelaksanaan otentikasi Kerberos V5 protokol.

INFORMASI LEBIH LANJUT

Pertanyaan

Adalah pelaksanaan Windows 2000 Kerberos dioperasikan dengan implementasi Kerberos lain?

Jawaban

Pelaksanaan Windows 2000 Kerberos dikembangkan berdasarkan pada RFC berikut:

Kerberos

http://www.IETF.org/RFC/rfc1510.txt?number=1510

GSSAPI Kerberos V5 mekanisme

http://www.IETF.org/RFC/rfc1964.txt?number=1964

Pengujian dengan MIT Kerberos versi 1.0.5, 1.0.6 dan 1.1.1 menunjukkan bahwa interoperabilitas ada untuk beberapa skenario yang dijelaskan di whitepaper Windows 2000 Kerberos interoperabilitas berikut:
http://technet.Microsoft.com/en-us/library/bb742432.aspx
Interoperabilitas pengujian juga telah terjadi dengan Heimdal, Penerapan CyberSafe, IBM dan matahari.

Microsoft Windows 2000 Kerberos implementasi sesuai dengan RFC berikut:
http://www.IETF.org/RFC/rfc1510.txt?number=1510http://www.IETF.org/RFC/rfc1964.txt?number=1964
Implementasi Microsoft Windows 2000 Kerberos V5 tidak berisi dukungan untuk Kerberos V4.

Pertanyaan

Bagaimana membuat kepercayaan lintas-alam untuk domain Windows 2000?

Jawaban

Langkah-langkah yang diuraikan dalam panduan Step-by-Step Kerberos 5 (krb5 1.0) Interoperabilitas:
http://technet.Microsoft.com/en-us/library/bb742433.aspx

Pertanyaan

Apakah Windows 2000 mendukung Kadmin?

Jawaban

Tidak, Windows 2000 mendukung Lightweight Directory Access Protocol (LDAP) untuk Administrasi account.

Pertanyaan

Apa password berubah protokol apakah Windows 2000 yang mendukung untuk Kerberos klien?

Jawaban

Windows 2000 mengimplementasikan protokol Kerberos Ubah sandi sebagai dijelaskan dalam rancangan Internet draft-ietf-cat-kerb-chg-password-02.txt. Ini protokol juga dilaksanakan di MIT krb5-1.1.1.

Catatan Salinan rancangan Internet yang dirujuk di atas dapat ditemukan di contoh file link di bagian bawah link halaman Web ini.

Pertanyaan

Bagaimana Windows 2000 menemukan pusat distribusi kunci (KDCs)?

Jawaban

Windows 2000 klien menggunakan Domain Name System (DNS) SRV records untuk Temukan kontroler domain pada sebuah domain, dan mereka berusaha untuk menyelesaikan _ldap._tcp.DC._msdcs SRV records. Pengontrol domain Windows 2000 juga menerbitkan SRV records untuk layanan _kerberos dan _kpasswd. Daftar diterbitkan SRV Catatan dapat ditemukan pada kontroler domain dalam berkas berikut:
%Windir%\System32\Config\Netlogon.DNS

Pertanyaan

Apakah Windows 2000 mendukung aplikasi layanan keamanan umum Pemrograman antarmuka (GSSAPI))RFC-2743)?

Jawaban

Microsoft mendukung antarmuka penyedia dukungan keamanan (SSPI) yang semantik mirip dengan GSSAPI, tetapi sintaksis berbeda. Untuk informasi tambahan tentang SSPI, lihat Microsoft Windows Platform SDK. The protokol yang digunakan oleh Kerberos keamanan dukungan penyedia (SSP) adalah sama dengan yang digunakan oleh mekanisme GSSAPI Kerberos5 yang didefinisikan dalam RFC berikut:
http://www.IETF.org/RFC/rfc1964.txt?number=1964

Pertanyaan

Apakah Windows 2000 mendukung antarmuka pemrograman aplikasi Krb5 S (API)?

Jawaban

Tidak. Hanya Kerberos antarmuka yang mendukung Windows 2000 melalui SSPI dan antarmuka tiket LsaCallAuthenticationPackage() didokumentasikan dalam Windows Platform SDK. Antarmuka SSPI setara dengan Kerberos GSSAPI dan menghasilkan sebuah aplikasi yang menggunakan GSSAPI/kerberos5 mechtype)RFC-1964) pada kawat. LsaCallAuthentication paket antarmuka menyediakan mekanisme untuk mengambil tiket dari cache tiket Kerberos.

Pertanyaan

Apa ekstensi Microsoft membuat untuk Kerberos?

Jawaban

Microsoft telah menerapkan ekstensi berikut yang diterbitkan sebagai IETF Internet konsep:

Kerberos Set Password protocol?
http://www.IETF.org/RFC/rfc3244.txt

Pertanyaan

What's in Kerberos tiket otorisasi data?

Jawaban

Otorisasi data dalam tiket Kerberos dimaksudkan oleh penulis RFC berikut untuk menerapkan khusus vendor otorisasi data:
http://www.IETF.org/RFC/rfc1510.txt?number=1510
Windows 2000 menggunakan bidang ini untuk menyimpan data spesifik yang didistribusikan mekanisme keamanan. Hal ini dijelaskan dalam Windows 2000 Server Didistribusikan sistem panduan halaman 667-669. Informasi tentang penggunaan otorisasi lapangan terletak di RFC berikut:
http://www.IETF.org/RFC/rfc1510.txt?number=1510

Pertanyaan

Bagaimana menjaga Windows 2000 sistem jam disinkronisasi?

Jawaban

Windows 2000 klien menggunakan versi berikut jaringan sederhana Waktu protokol (SNTP):
http://www.IETF.org/RFC/rfc1769.txt?number=1769
Waktu sinkronisasi menggunakan waktu Universal mengkoordinasikan (UTC) yang adalah zona waktu yang independen. Komputer menentukan sumbernya waktu dengan mengikuti algoritma kompleks yang melibatkan situs, domain, PDC FSMO, dan dapat diandalkan waktu Server. Waktu layanan dikontrol dengan menggunakan waktu netperintah. Undang-undang untuk bergabung dengan domain memungkinkan layanan Windows 2000 waktu jadi itu akan secara otomatis berjalan di boot. Ketika berkomunikasi dengan Windows 2000 komputer, waktu paket dijamin dengan hash ditandatangani informasi waktu. Keamanan didasarkan pada Windows NT saluran aman dan tanda tangan kuncinya adalah ditentukan oleh mesin account klien.

Pertanyaan

Jenis enkripsi apa Apakah mendukung Windows 2000?

Jawaban

Windows 2000 mendukung jenis enkripsi berikut:

RC4-HMAC

DES-CBC-CRC

DES-CBC-MD5

Kerberos enkripsi kunci panjang:
Perkecil tabel iniPerbesar tabel ini
OtentikasiPenandatangananPrivasi
RC4-HMAC12812856 (128 w / tinggi Menginstal paket enkripsi
DES-CBC-CRC565656
DES-CBC-MD5565656

Pertanyaan

Bagaimana saya mengetahui apa Kerberos tiket saya?

Jawaban

Kerberos tiket yang disimpan di cache tiket oleh LSA, dan cache dihancurkan ketika pengguna log. Hanya login user memiliki akses untuk tiket di cache. Utilitas Resource Kit Klist.exe atau Kerbtray.exe dapat digunakan untuk memeriksa tiket di cache.

Pertanyaan

Apakah Windows 2000 mendukung Pkinit?

Jawaban

Windows 2000 Kerberos menyediakan implementasi dari rancangan Pkinit Versi 9. Penggunaan tertentu Pkinit di Windows 2000 dibatasi untuk mendukung SmartCard logon. Pkinit belum diuji dengan lain implementasi sejak rilis Windows 2000.

Pertanyaan

Apakah tahan tiket standar?

Jawaban

Tahan tiket standar dikontrol pada tingkat domain dengan menggunakan domain kebijakan. Default adalah:
  • MaxServiceTicketAge: 10 jam
  • MaxTicketAge: 10 jam
  • MaxRenewAge: 7 hari
  • MaxClockSkew: 5 menit

Pertanyaan

Apa Menegakkan Logon pembatasan berarti?

Jawaban

Ada pengaturan untuk Kerberos kebijakan disebut Menegakkan Logon pembatasan. Dengan pengaturan ini diaktifkan, setiap kali pengguna menggunakan tiket-pemberian-tiket (TGT) untuk meminta tiket, account diperiksa untuk melihat Jika masih berlaku. Yang akan mencegah rekening cacat mendapatkan baru tiket sesi.

Pertanyaan

Bagaimana cara menggunakan delegasi?

Jawaban

Delegasi memungkinkan layanan untuk bertindak sebagai pengguna dengan pengguna akses ke jaringan sumber daya. Ini memerlukan klien untuk maju pengguna TGT layanan jadi itu dapat meminta tiket dari KDC atas nama pengguna. Karena layanan ini dapat bertindak sebagai pengguna, sangat penting bahwa layanan dapat dipercaya sebelum memberikan Anda TGT. Windows 2000 memiliki kontrol yang dapat membatasi ketika layanan yang menyediakan pengguna TGT ketika delegasi diminta.

Kerberos revisi Internet Rancangan menentukan bendera tiket baru - "OK sebagai mendelegasikan". Windows 2000 KDC menetapkan bendera di layanan tiket yang memiliki Dipercaya untuk delegasi menetapkan bendera account kontrol. Jika Layanan tiket telah OK sebagai delegasi Bendera set, maka SSPI meneruskan pengguna TGT ke layanan jika SSPI program diminta delegasi. Jika tiket bendera tidak diatur, maka SSPI delegasi bendera adalah diabaikan dan TGT tidak diteruskan.

Jika Anda menjalankan dengan KDC yang tidak menetapkan bendera tiket, Anda dapat mengatur RealmFlags dalam registri konfigurasi untuk wilayah eksternal untuk mempercayai alam untuk delegasi. Pengaturan Bendera RealmFlags nilai 4 memungkinkan fitur ini.

Untuk informasi tambahan tentang pengaturan registri RealmFlags, melihat jendela 2000 Registri referensi (Regentry.chm) yang termasuk dalam Windows 2000 Resource Kit.

Pertanyaan

Apakah Windows 2000 mendukung SPNEGO)RFC-2478)?

Jawaban

Ya. SSP bernegosiasi menerapkan SPNEGO. SSP bernegosiasi adalah paket standar umum yang menggunakan sebagian besar program di Windows 2000.

Pertanyaan

Telnet dan protokol Transfer berkas (FTP) klien di Windows 2000 Kerberized?

Jawaban

Layanan Telnet dan FTP pada Windows 2000 tidak menggunakan Kerberos untuk otentikasi.

Produk pihak ketiga yang artikel ini membahas dibuat oleh perusahaan yang independen terhadap Microsoft. Microsoft membuat tidak ada garansi, tersirat atau sebaliknya, berkenaan dengan kinerja atau keandalan produk ini.

Properti

ID Artikel: 266080 - Kajian Terakhir: 22 September 2011 - Revisi: 1.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kata kunci: 
kb3rdparty kbFAQ kbinfo kbkerberos kbmt KB266080 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:266080

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com