Risposte alle domande pi¨ frequenti di Kerberos

Traduzione articoli Traduzione articoli
Identificativo articolo: 266080 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Viene fornita risposta in questo articolo domande pi¨ frequenti sull'implementazione di Microsoft Windows 2000 del protocollo di autenticazione Kerberos V5.

Informazioni

Domanda

╚ l'implementazione Kerberos di Windows 2000 con altre implementazioni di Kerberos?

Risposta

L'implementazione di Kerberos in Windows 2000 Ŕ stato sviluppato in base alle seguenti RFC:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Meccanismo di Kerberos V5 GSSAPI

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Test con Kerberos MIT versioni 1.0.5, 1.0.6 e 1.1.1 indicano l'interoperabilitÓ per un numero di scenari descritti nel seguente white paper Windows 2000 Kerberos Interoperability:
http://technet.microsoft.com/en-us/library/bb742432.aspx
Test di interoperabilitÓ anche verificato con implementazioni Heimdal, CyberSafe, IBM e Sun.

L'implementazione Kerberos di Microsoft Windows 2000 Ŕ compatibile con le seguenti RFC:
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
L'implementazione di Microsoft Windows 2000 di Kerberos V5 non contiene il supporto per Kerberos V4.

Domanda

ModalitÓ di installazione di un trust tra tra-aree di autenticazione a un dominio di Windows 2000

Risposta

La procedura descritta nel documento Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability:
http://technet.microsoft.com/en-us/library/bb742433.aspx

Domanda

Windows 2000 supporta Kadmin?

Risposta

No, Windows 2000 supporta Lightweight Directory Access Protocol (LDAP) per l'account di amministrazione.

Domanda

Indicare la password cambiare protocollo supporta Windows 2000 per i client Kerberos?

Risposta

Windows 2000 implementa il protocollo Kerberos Cambia Password come descritto nella bozza Internet draft-ietf-cat-kerb-chg-password-02.txt. Questo protocollo viene implementato anche in MIT krb5-1.1.1.

Nota Una copia della bozza Internet indicato in precedenza Ŕ reperibile nel collegamento di file di esempio nella parte inferiore di questo collegamento della pagina Web.

Domanda

Come viene individuata la centri di distribuzione chiavi (KDC) in Windows 2000?

Risposta

Windows 2000 i client di utilizzare i record Domain Name System (DNS) SRV per individuare i controller di dominio in un dominio e si tenta di risolvere i record SRV _ldap._tcp.dc._msdcs. Inoltre, il controller di dominio di Windows 2000 pubblicare i record SRV per servizi _kerberos e _kpasswd. L'elenco di pubblicato SRV record sono disponibili su un controller di dominio nel seguente file:
%Windir%\System32\Config\Netlogon.DNS

Domanda

Windows 2000 supporta applicazioni servizio di protezione generale Programming Interface (GSSAPI) (RFC-2743)?

Risposta

Microsoft supporta la protezione SSPI Support Provider Interface () che Ŕ simile dal punto di vista semantico il GSSAPI ma diversi dal punto di vista sintattico. Per ulteriori informazioni su SSPI, vedere Microsoft Windows Platform SDK. Il protocollo utilizzato da Kerberos SSP (Security Support Provider) Ŕ la stessa utilizzata dal meccanismo di GSSAPI Kerberos5 specificato nella RFC riportato di seguito:
http://www.ietf.org/rfc/rfc1964.txt?number=1964

Domanda

Windows 2000 supporta Krb5 Application Programming Interface (API) s?

Risposta

Nr. Le interfacce di Kerberos sola tramite l'interfaccia SSPI che Windows 2000 sono supportati e le interfacce di ticket LsaCallAuthenticationPackage() documentate in Windows Platform SDK. Le interfacce SSPI sono equivalenti a GSSAPI di Kerberos e produrre un'applicazione che utilizza il GSSAPI/kerberos5 mechtype (RFC-1964) sulla rete. Le interfacce di pacchetto LsaCallAuthentication forniscono un meccanismo per recuperare i ticket dalla cache dei ticket Kerberos.

Domanda

Le estensioni Microsoft hanno apportato a Kerberos

Risposta

Microsoft ha implementato le seguenti estensioni che vengono pubblicate come bozze Internet IETF:

Imposta Password Kerberos protocol?
http://www.ietf.org/rfc/rfc3244.txt

Domanda

Che cos'Ŕ nei dati di autorizzazione del ticket Kerberos?

Risposta

Dati di autorizzazione nel ticket di Kerberos Ŕ stato previsto dagli autori RFC seguenti nell'implementazione di dati di autorizzazione specifici del fornitore:
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Questo campo di Windows 2000 viene utilizzato per contenere dati specifici di un meccanismo di protezione distribuiti. Come descritto nelle pagine di Windows 2000 Server Distributed Systems Guide 667-669. Informazioni sull'utilizzo previsto del campo autorizzazione si trova nella richiesta seguente:
http://www.ietf.org/rfc/rfc1510.txt?number=1510

Domanda

Come mantenere sincronizzati gli orologi di sistema in Windows 2000?

Risposta

I client Windows 2000 utilizzano la seguente versione di Simple Network Time Protocol (SNTP):
http://www.ietf.org/rfc/rfc1769.txt?number=1769
Sincronizzazione dell'ora utilizza coordinate UTC (Universal Time) che Ŕ indipendente di fuso orario. Un computer determina relativa origine ora seguendo un algoritmo complesso che implicano siti, domini, FSMO del controller primario del dominio e server ora affidabile. Il servizio ora Ŕ controllato da utilizzando il comando net time . L'operazione di aggiunta a un dominio abilita il servizio ora di Windows 2000 in modo da in cui avvia automaticamente all'avvio. Durante la comunicazione con computer che eseguono Windows 2000, ora pacchetti sono protetti con un hash con le informazioni di tempo. Protezione si basa sul canale protetto Windows NT e la chiave di firma Ŕ determinata dall'account computer del client.

Domanda

I tipi di crittografia supporta Windows 2000?

Risposta

Windows 2000 supporta i seguenti tipi di crittografia:

HMAC-RC4

DES CBC-CRC

DES CBC-MD5

Lunghezza chiave di crittografia Kerberos:
Riduci questa tabellaEspandi questa tabella
AutenticazioneLa firmaPrivacy
HMAC-RC412812856 (128 con High Encryption Pack
DES CBC-CRC565656
DES CBC-MD5565656

Domanda

Come scoprire quali ticket Kerberos ╚ necessario?

Risposta

I ticket Kerberos vengono mantenuti nella cache dei ticket da LSA, e la cache viene eliminata quando l'utente effettua l'accesso. Solo l'utente connesso ha accesso ai ticket nella cache. Le utilitÓ di Resource Kit Klist.exe o KerbTray.exe possono essere utilizzate per esaminare i ticket nella cache.

Domanda

Windows 2000 supporta Pkinit?

Risposta

Kerberos di Windows 2000 fornisce un'implementazione della versione di bozza Pkinit 9. L'utilizzo specifico di Pkinit in Windows 2000 Ŕ vincolato a supporto di accesso smart card. Dopo il rilascio di Windows 2000 non Ŕ stato testato con altre implementazioni pkinit.

Domanda

Che cosa sono le durate del ticket predefinite?

Risposta

La durata del ticket predefinito Ŕ controllata a livello di dominio da utilizzando i criteri di dominio. I valori predefiniti sono:
  • MaxServiceTicketAge: 10 ore
  • MaxTicketAge: 10 ore
  • MaxRenewAge: 7 giorni
  • MaxClockSkew: 5 minuti

Domanda

Che cosa significa Applica le restrizioni di accesso ?

Risposta

Non vi Ŕ un'impostazione per il criterio Kerberos chiamato Applica le restrizioni di accesso . Questa impostazione Ŕ attivata, ogni volta che un utente utilizza un ticket di concessione-ticket (TGT) alla richiesta di un ticket, l'account Ŕ controllato per verificare se Ŕ ancora valido. Che impedisce a un account disattivato da ottenere ticket di sessione nuova.

Domanda

Come Ŕ possibile utilizzare la delega?

Risposta

La delega consente a un servizio per agire come utente con accesso dell'utente alle risorse di rete. Questo richiede il client per l'inoltro TGT di un utente per il servizio in modo che pu˛ richiedere ticket da un KDC per conto dell'utente. PoichÚ il servizio Ŕ in grado di agire come l'utente, Ŕ importante che il servizio venga considerato attendibile prima assegnandogli il TGT. Windows 2000 dispone di controlli che Ŕ possono limitare quando un servizio fornisce il TGT di un utente quando viene richiesta la delega.

Le revisioni di Kerberos bozza Internet consente di specificare un nuovo ticket flag - "OK come delegato". Il KDC di Windows 2000 imposta questo flag nel ticket di servizio sia stato impostato il flag di controllo l'account il trusted per delega . Se il ticket di servizio Ŕ impostato il flag OK come delegato , questa interfaccia inoltra TGT dell'utente al servizio se il programma SSPI richiesta di delega. Se non Ŕ impostato il flag di ticket, Ŕ quindi il flag di delega SSPI viene ignorato e non viene inoltrato il TGT.

Se si esegue un KDC che non impostato il flag di ticket, Ŕ possibile impostare il RealmFlags nella configurazione del Registro di sistema per l'area di autenticazione esterno per l'area di autenticazione per la delega di trust. Impostando il flag di RealmFlags su un valore di 4 attiva questa funzionalitÓ.

Per ulteriori informazioni sull'impostazione RealmFlags del Registro di sistema, consultare il Windows 2000 riferimento (Regentry.chm) incluso nel Resource Kit di Windows 2000.

Domanda

Windows 2000 supporta SPNEGO (RFC-2478)?

Risposta

Sý. Il provider SSP Negotiate implementa SPNEGO. Il provider SSP Negotiate Ŕ il pacchetto predefinito comune utilizzare la maggior parte dei programmi di Windows 2000.

Domanda

Sono i client Telnet e FTP (File Transfer Protocol) in Windows 2000 Kerberized?

Risposta

I servizi Telnet e FTP in Windows 2000 non utilizzano Kerberos per l'autenticazione.

I prodotti di terze parti che in questo articolo viene descritto sono forniti da produttori indipendenti. Microsoft non rilascia alcuna garanzia, implicita o di altra natura, relativa alle prestazioni o all'affidabilitÓ di questi prodotti.

ProprietÓ

Identificativo articolo: 266080 - Ultima modifica: mercoledý 28 febbraio 2007 - Revisione: 7.5
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Chiavi:á
kbmt kb3rdparty kbfaq kbinfo kbkerberos KB266080 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 266080
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com