Risposte alle domande più frequenti di Kerberos

Viene fornita risposta in questo articolo domande più frequenti sull'implementazione di Microsoft Windows 2000 del protocollo di autenticazione Kerberos V5.

Domanda

È l'implementazione Kerberos di Windows 2000 con altre implementazioni di Kerberos?

Risposta

L'implementazione di Kerberos in Windows 2000 è stato sviluppato in base alle seguenti RFC:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Meccanismo di Kerberos V5 GSSAPI

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Test con Kerberos MIT versioni 1.0.5, 1.0.6 e 1.1.1 indicano l'interoperabilità per un numero di scenari descritti nel seguente white paper Windows 2000 Kerberos Interoperability: Test di interoperabilità anche verificato con implementazioni Heimdal, CyberSafe, IBM e Sun.

L'implementazione Kerberos di Microsoft Windows 2000 è compatibile con le seguenti RFC: L'implementazione di Microsoft Windows 2000 di Kerberos V5 non contiene il supporto per Kerberos V4.

Domanda

Modalità di installazione di un trust tra tra-aree di autenticazione a un dominio di Windows 2000

Risposta

La procedura descritta nel documento Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability:

Domanda

Windows 2000 supporta Kadmin?

Risposta

No, Windows 2000 supporta Lightweight Directory Access Protocol (LDAP) per l'account di amministrazione.

Domanda

Indicare la password cambiare protocollo supporta Windows 2000 per i client Kerberos?

Risposta

Windows 2000 implementa il protocollo Kerberos Cambia Password come descritto nella bozza Internet draft-ietf-cat-kerb-chg-password-02.txt. Questo protocollo viene implementato anche in MIT krb5-1.1.1.

Nota Una copia della bozza Internet indicato in precedenza è reperibile nel collegamento di file di esempio nella parte inferiore di questo collegamento della pagina Web.

Domanda

Come viene individuata la centri di distribuzione chiavi (KDC) in Windows 2000?

Risposta

Windows 2000 i client di utilizzare i record Domain Name System (DNS) SRV per individuare i controller di dominio in un dominio e si tenta di risolvere i record SRV _ldap._tcp.dc._msdcs. Inoltre, il controller di dominio di Windows 2000 pubblicare i record SRV per servizi _kerberos e _kpasswd. L'elenco di pubblicato SRV record sono disponibili su un controller di dominio nel seguente file:

Domanda

Windows 2000 supporta applicazioni servizio di protezione generale Programming Interface (GSSAPI) (RFC-2743)?

Risposta

Microsoft supporta la protezione SSPI Support Provider Interface () che è simile dal punto di vista semantico il GSSAPI ma diversi dal punto di vista sintattico. Per ulteriori informazioni su SSPI, vedere Microsoft Windows Platform SDK. Il protocollo utilizzato da Kerberos SSP (Security Support Provider) è la stessa utilizzata dal meccanismo di GSSAPI Kerberos5 specificato nella RFC riportato di seguito:

Domanda

Windows 2000 supporta Krb5 Application Programming Interface (API) s?

Risposta

Nr. Le interfacce di Kerberos sola tramite l'interfaccia SSPI che Windows 2000 sono supportati e le interfacce di ticket LsaCallAuthenticationPackage() documentate in Windows Platform SDK. Le interfacce SSPI sono equivalenti a GSSAPI di Kerberos e produrre un'applicazione che utilizza il GSSAPI/kerberos5 mechtype (RFC-1964) sulla rete. Le interfacce di pacchetto LsaCallAuthentication forniscono un meccanismo per recuperare i ticket dalla cache dei ticket Kerberos.

Domanda

Le estensioni Microsoft hanno apportato a Kerberos

Risposta

Microsoft ha implementato le seguenti estensioni che vengono pubblicate come bozze Internet IETF:

Imposta Password Kerberos protocol?

Domanda

Che cos'è nei dati di autorizzazione del ticket Kerberos?

Risposta

Dati di autorizzazione nel ticket di Kerberos è stato previsto dagli autori RFC seguenti nell'implementazione di dati di autorizzazione specifici del fornitore: Questo campo di Windows 2000 viene utilizzato per contenere dati specifici di un meccanismo di protezione distribuiti. Come descritto nelle pagine di Windows 2000 Server Distributed Systems Guide 667-669. Informazioni sull'utilizzo previsto del campo autorizzazione si trova nella richiesta seguente:

Domanda

Come mantenere sincronizzati gli orologi di sistema in Windows 2000?

Risposta

I client Windows 2000 utilizzano la seguente versione di Simple Network Time Protocol (SNTP): Sincronizzazione dell'ora utilizza coordinate UTC (Universal Time) che è indipendente di fuso orario. Un computer determina relativa origine ora seguendo un algoritmo complesso che implicano siti, domini, FSMO del controller primario del dominio e server ora affidabile. Il servizio ora è controllato da utilizzando il comando net time . L'operazione di aggiunta a un dominio abilita il servizio ora di Windows 2000 in modo da in cui avvia automaticamente all'avvio. Durante la comunicazione con computer che eseguono Windows 2000, ora pacchetti sono protetti con un hash con le informazioni di tempo. Protezione si basa sul canale protetto Windows NT e la chiave di firma è determinata dall'account computer del client.

Domanda

I tipi di crittografia supporta Windows 2000?

Risposta

Windows 2000 supporta i seguenti tipi di crittografia:

HMAC-RC4

DES CBC-CRC

DES CBC-MD5

Domanda

Come scoprire quali ticket Kerberos È necessario?

Risposta

I ticket Kerberos vengono mantenuti nella cache dei ticket da LSA, e la cache viene eliminata quando l'utente effettua l'accesso. Solo l'utente connesso ha accesso ai ticket nella cache. Le utilità di Resource Kit Klist.exe o KerbTray.exe possono essere utilizzate per esaminare i ticket nella cache.

Domanda

Windows 2000 supporta Pkinit?

Risposta

Kerberos di Windows 2000 fornisce un'implementazione della versione di bozza Pkinit 9. L'utilizzo specifico di Pkinit in Windows 2000 è vincolato a supporto di accesso smart card. Dopo il rilascio di Windows 2000 non è stato testato con altre implementazioni pkinit.

Domanda

Che cosa sono le durate del ticket predefinite?

Risposta

La durata del ticket predefinito è controllata a livello di dominio da utilizzando i criteri di dominio. I valori predefiniti sono:

• MaxServiceTicketAge: 10 ore
• MaxTicketAge: 10 ore
• MaxRenewAge: 7 giorni
  
• MaxClockSkew: 5 minuti
  

Domanda

Che cosa significa Applica le restrizioni di accesso ?

Risposta

Non vi è un'impostazione per il criterio Kerberos chiamato Applica le restrizioni di accesso . Questa impostazione è attivata, ogni volta che un utente utilizza un ticket di concessione-ticket (TGT) alla richiesta di un ticket, l'account è controllato per verificare se è ancora valido. Che impedisce a un account disattivato da ottenere ticket di sessione nuova.

Domanda

Come è possibile utilizzare la delega?

Risposta

La delega consente a un servizio per agire come utente con accesso dell'utente alle risorse di rete. Questo richiede il client per l'inoltro TGT di un utente per il servizio in modo che può richiedere ticket da un KDC per conto dell'utente. Poiché il servizio è in grado di agire come l'utente, è importante che il servizio venga considerato attendibile prima assegnandogli il TGT. Windows 2000 dispone di controlli che è possono limitare quando un servizio fornisce il TGT di un utente quando viene richiesta la delega.

Le revisioni di Kerberos bozza Internet consente di specificare un nuovo ticket flag - "OK come delegato". Il KDC di Windows 2000 imposta questo flag nel ticket di servizio sia stato impostato il flag di controllo l'account il trusted per delega . Se il ticket di servizio è impostato il flag OK come delegato , questa interfaccia inoltra TGT dell'utente al servizio se il programma SSPI richiesta di delega. Se non è impostato il flag di ticket, è quindi il flag di delega SSPI viene ignorato e non viene inoltrato il TGT.

Se si esegue un KDC che non impostato il flag di ticket, è possibile impostare il RealmFlags nella configurazione del Registro di sistema per l'area di autenticazione esterno per l'area di autenticazione per la delega di trust. Impostando il flag di RealmFlags su un valore di 4 attiva questa funzionalità.

Per ulteriori informazioni sull'impostazione RealmFlags del Registro di sistema, consultare il Windows 2000 riferimento (Regentry.chm) incluso nel Resource Kit di Windows 2000.

Domanda

Windows 2000 supporta SPNEGO (RFC-2478)?

Risposta

Sì. Il provider SSP Negotiate implementa SPNEGO. Il provider SSP Negotiate è il pacchetto predefinito comune utilizzare la maggior parte dei programmi di Windows 2000.

Domanda

Sono i client Telnet e FTP (File Transfer Protocol) in Windows 2000 Kerberized?

Risposta

I servizi Telnet e FTP in Windows 2000 non utilizzano Kerberos per l'autenticazione.

I prodotti di terze parti che in questo articolo viene descritto sono forniti da produttori indipendenti. Microsoft non rilascia alcuna garanzia, implicita o di altra natura, relativa alle prestazioni o all'affidabilità di questi prodotti.