Kerberos のよく寄せられる質問への回答

文書翻訳 文書翻訳
文書番号: 266080
すべて展開する | すべて折りたたむ

目次

概要

この資料についてよく寄せられる質問に回答がMicrosoft Windows 2000 の実装は、Kerberos V5 認証プロトコルです。

詳細

質問

Windows 2000 の Kerberos 実装は、相互運用可能であります。その他の Kerberos 実装しますか。

応答

Windows 2000 で Kerberos の実装をベースに開発されました。次の Rfc では。

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

GSSAPI Kerberos V5 メカニズム

http://www.ietf.org/rfc/rfc1964.txt?number=1964

MIT Kerberos のテスト バージョン 1.0.5、1.0.6、1.1.1 という相互運用性が記載されているシナリオの数は、次の Windows 2000 Kerberos の相互運用性のホワイト ペーパー。
http://technet.microsoft.com/en-us/library/bb742432.aspx
相互運用性テスト Heimdal をまたしました、CyberSafe、IBM と Sun の実装します。

Microsoft Windows 2000Kerberos の実装、次の Rfc に準拠しています。
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
Microsoft Windows 2000 の Kerberos V5 系はありません。Kerberos V4 のサポートが含まれています。

質問

Windows 2000 ドメインに領域間信頼関係をセットアップする方法をか。

応答

Kerberos 5 ステップ バイ ステップ ガイドの手順が記載されています。(krb5 1.0)相互運用性:
http://technet.microsoft.com/en-us/library/bb742433.aspx

質問

Windows 2000 は、Kadmin をサポートされてでしょうか。

応答

いいえ、Windows 2000 がライトウェイト ディレクトリ アクセス プロトコルをサポートしています(LDAP) のアカウントを管理します。

質問

プロトコルを変更するとどのようなパスワードが Windows 2000 をサポートしてKerberos クライアントですか。

応答

Windows 2000 は、Kerberos のパスワード変更プロトコルとして実装していますdraft-ietf-cat-kerb-chg-password-02.txt のインターネット ドラフトに記載されています。これプロトコルは、MIT の krb5 1.1.1 にも実装されています。

メモ 上記のインターネット ドラフトのコピーである、この Web ページのリンクの下にあるサンプル ファイルのリンク。

質問

Windows 2000 は、キー配布センター (Kdc) を検索する方法はでしょうか。

応答

Windows 2000 クライアントのドメイン ネーム システム (DNS) の SRV レコードを使用します。ドメインでは、ドメイン コント ローラーを検索し、それらを解決しようと、_ldap._tcp.dc._msdcs の SRV レコード。Windows 2000 ドメイン コント ローラーにも公開します。_Kerberos および _kpasswd のサービスの SRV レコード。SRV の発行の一覧ドメイン コント ローラーには、次のファイルのレコードがあります。
%Windir%\System32\Config\Netlogon.dns

質問

Windows 2000 のセキュリティ サービスの全般的なアプリケーションをサポートしてプログラミング ・ インタ フェース (GSSAPI) (RFC-2743)?

応答

Microsoft セキュリティ サポート プロバイダー インターフェイス (SSPI) をサポートしています。GSSAPI をする意味に似ていますが、構文上は異なるです。のSSPI は、の詳細については、Microsoft Windows プラットフォーム SDK を参照してください。は、Kerberos セキュリティ サポート プロバイダー (SSP) で使用されるプロトコルと同じであります。次の RFC で定義されている、GSSAPI Kerberos5 メカニズムは次のように使用。
http://www.ietf.org/rfc/rfc1964.txt?number=1964

質問

Windows 2000 は Krb5 アプリケーション プログラミング インターフェイスをサポートして(API) のでしょうか。

応答

いいえWindows 2000 をサポートしている唯一の Kerberos インターフェイスがSSPI と LsaCallAuthenticationPackage() のチケット インターフェイスを通じてWindows プラットフォーム SDK で文書化します。SSPI インターフェイスと同じです。Kerberos GSSAPI GSSAPI/kerberos5 を使用するアプリケーションの作成mechtype (RFC 1964) 上でワイヤ。LsaCallAuthentication パッケージのインタ フェースをするメカニズムを提供します。Kerberos チケットのキャッシュからチケットを取得します。

質問

拡張 Kerberos にマイクロソフトが行ったか。

応答

Microsoft には、次の拡張子が加わりましたIETF のインターネット ドラフトとしての公開。

Kerberos パスワードの設定 protocol:
http://www.ietf.org/rfc/rfc3244.txt

質問

Kerberos チケットの承認データを教えてください。

応答

Kerberos チケットの承認データによって本来のベンダー固有の承認データを実装する次の RFC の著者:
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Windows 2000 はこのフィールドを使用して固有のデータを保持するのには、分散型のセキュリティ メカニズムです。これは、Windows 2000 Server を説明します。分散システム ガイドのページ 667-669。使用方法の詳細については、承認のフィールドは、次の RFC にあります。
http://www.ietf.org/rfc/rfc1510.txt?number=1510

質問

Windows 2000 システム クロックの同期を維持する方法を学習してでしょうか。

応答

単純なネットワークの次のバージョンの Windows 2000 クライアントの使用します。タイム プロトコル (SNTP)。
http://www.ietf.org/rfc/rfc1769.txt?number=1769
時刻の同期は世界協定時刻 (UTC) を使用して、タイム ゾーンは影響を受けません。コンピューターでタイム ソースを決定します。サイト、ドメイン、PDC FSMO、および信頼性の高い時間を含む、複雑なアルゴリズムサーバー。タイム サービスを使用して制御される、 net timeコマンドです。Windows 2000 タイム サービスのドメインへの参加の動作を有効に、自動的に起動時に開始します。Windows 2000 との通信時コンピューターは、タイム パケット時刻情報の符号付きハッシュで保護されています。Windows NT セキュリティで保護されたチャネルのセキュリティを基に、署名キークライアント コンピューター アカウントが決定します。

質問

どのような暗号化の種類は、Windows 2000 をサポートしていますか。

応答

Windows 2000 は、次の暗号化の種類をサポートしています。

RC4 HMAC

DES-CBC の CRC

DES-CBC の MD5

Kerberos 暗号化キーの長さ:
元に戻す全体を表示する
認証署名プライバシー
RC4 HMAC12812856 (128 台の高暗号化パックのインストール
DES-CBC の CRC565656
DES-CBC の MD5565656

質問

私がどのような Kerberos チケットを確認する方法

応答

Kerberos チケットはチケット キャッシュには LSA によって保持されますと、ユーザーがログオフすると、キャッシュが破棄されます。ログオンしたユーザーだけがアクセスチケットをキャッシュします。リソース キット ユーティリティ Klist.exe またはKerbtray.exe は、キャッシュ内のチケットを確認する使用できます。

質問

Windows 2000 は、Pkinit をサポートされてでしょうか。

応答

Windows 2000 Kerberos Pkinit ドラフトの実装が用意されていますバージョン 9。Pkinit では、Windows 2000 の特定の用途が制約されます。スマート カード ログオンをサポートします。Pkinit でテストされていませんWindows 2000 のリリース以降の実装します。

質問

既定のチケットの有効期間を教えてください。

応答

既定のチケットの有効期限は、ドメイン レベルで制御されます。ドメイン ポリシーを使用します。既定値は次のとおりです。
  • MaxServiceTicketAge: 10 時間
  • MaxTicketAge: 10 時間
  • MaxRenewAge: [7 日間
  • MaxClockSkew: 5 分

質問

実行内容 ログオン制限を適用します。 意味するか。

応答

設定は、Kerberos と呼ばれるポリシー ログオン制限を適用します。.ユーザーを使用するたびに、この設定が有効なは、チケット-保証 - チケットをアカウントを要求するチケット (TGT) を確認するには依然として有効だ.無効なアカウント新規取得できなくなります。セッション チケット。

質問

委任を使用する方法を教えてください。

応答

ユーザーとそのユーザーの役割を果たすには、サービスの委任を許可します。ネットワーク リソースへのアクセスします。これは、ユーザーの TGT を転送するのには、クライアントが必要です。it に代わってユーザーの KDC からチケットを要求できるようにして、サービスにします。サービスとして操作することであるため、重要ですが、サービスTGT. の Windows 2000 が制限することができますコントロールを行う前に、信頼されます。委任を要求すると場合、サービス ユーザーの TGT を提供します。

Kerberos の変更履歴インターネット ドラフト新しいチケット フラグ -"[ok] として指定します。代理人」。このフラグがサービス チケットを Windows 2000 KDC を設定、 委任に対して信頼されています。 アカウント制御フラグを設定します。場合は、サービス ・ チケットを持っている、 [Ok] 代理人として フラグを設定し、SSPIサービスへのユーザーの TGT SSPI プログラムを要求した場合を転送します。委任します。チケット フラグを設定しない場合、SSPI 委任フラグです。無視され、TGT を転送できません。

KDC を実行している場合チケット フラグを設定しない、レジストリに、RealmFlags を設定することができます。レルムを委任に対して信頼する外部、領域を構成します。設定この機能を RealmFlags フラグ 4 の値を有効にします。

のRealmFlags のレジストリ設定の詳細については、Windows を参照してください。2000 レジストリは、Windows 2000 リソースに含まれているリファレンス (Regentry.chm)キットです。

質問

Windows 2000 をサポートして SPNEGO (-RFC2478)?

応答

[はい] します。SPNEGO は、交渉の SSP を実装します。交渉の SSP でください。ほとんどのプログラムで Windows 2000 を使用して、一般的なデフォルト パッケージ。

質問

Telnet とファイル転送プロトコル (FTP) クライアントの Windows では2000 Kerberized でしょうか。

応答

Telnet、および FTP サービスでは、Windows 2000 は Kerberos を使用しないでください。認証。

この資料に記載サード パーティ製の製品します。マイクロソフトと関連のある他社の。マイクロソフトでは行っていません。保証、黙示またはそれ以外の場合、パフォーマンスや信頼性についてこれらの製品。

プロパティ

文書番号: 266080 - 最終更新日: 2011年7月25日 - リビジョン: 9.0
キーワード:?
kbinfo kbkerberos kb3rdparty kbfaq kbmt KB266080 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:266080
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com