Respostas a perguntas mais frequentes Kerberos

Este artigo responde a perguntas mais frequentes sobre a implementação do Microsoft Windows 2000 do protocolo de autenticação Kerberos V5.

Pergunta

A implementação de Kerberos do Windows 2000 É interoperável com outras implementações de Kerberos?

Resposta

A implementação do Windows 2000 do Kerberos foi desenvolvida com base no RFC seguintes:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Mecanismo de Kerberos V5 GSSAPI

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Testar com MIT Kerberos versões 1.0.5 1.0.6 e 1.1.1 indicam que existe interoperabilidade para um número de cenários que são descritos no documento seguinte técnico interoperabilidade de Kerberos do Windows 2000: Testar a interoperabilidade também ocorreu com implementações Heimdal CyberSafe, IBM e Sol.

A implementação do Microsoft Windows 2000 Kerberos é compatível com os seguintes RFC: A implementação do Microsoft Windows 2000 do Kerberos V5 não contém suporte para Kerberos V4.

Pergunta

Como posso configurar uma fidedignidade de realm cruzada a um domínio do Windows 2000?

Resposta

Os passos são descritos no guia passo-a-passo para Kerberos 5 (krb5 1.0) interoperabilidade:

Pergunta

Windows 2000 suporta Kadmin?

Resposta

Não, o Windows 2000 suporta Lightweight Directory Access Protocol (LDAP) para a conta de administração.

Pergunta

Que palavra-passe Alterar protocolo suporta Windows 2000 para clientes de Kerberos?

Resposta

Windows 2000 implementa o protocolo Kerberos alterar palavra-passe conforme descrito no Internet Draft draft-ietf-cat-kerb-chg-password-02.txt. Este protocolo também é implementado em MIT krb5-1.1.1.

Nota Uma cópia do Internet Draft referido acima pode ser encontrada na hiperligação de ficheiro de exemplo na parte inferior desta hiperligação da página Web.

Pergunta

Como o Windows 2000 localizar o centros de distribuição de chaves (KDCs)?

Resposta

Os clientes do Windows 2000 utilizam registos SRV de DNS para localizar controladores de domínio num domínio e tentam resolver os registos SRV de _ldap._tcp.dc._msdcs. Controladores de domínio do Windows 2000 também publicar registos SRV para serviços _kerberos e _kpasswd. A lista de SRV publicada podem encontrar registos num controlador de domínio o seguinte ficheiro:

Pergunta

Windows 2000 suporta geral Security Service Application Programming Interface (GSSAPI) (RFC-2743)?

Resposta

A Microsoft suporta o SSPI Security Support Provider Interface () que é semanticamente semelhante da GSSAPI mas sintacticamente diferentes. Para obter informações adicionais sobre SSPI, consulte o Microsoft Windows Platform SDK. O protocolo utilizado pelo SSP (Kerberos Security Support Provider) é o mesmo utilizando o mecanismo de GSSAPI Kerberos5 definido no RFC seguinte:

Pergunta

Windows 2000 suporta interfaces de programação Krb5 aplicações (API) s?

Resposta

' Não '. As interfaces de Kerberos apenas que suporta Windows 2000 está através de SSPI e as interfaces de permissão LsaCallAuthenticationPackage() documentadas no Windows Platform SDK. As interfaces SSPI são equivalentes aos GSSAPI Kerberos e produzir uma aplicação que utilize GSSAPI/kerberos5 mechtype (RFC-1964) na ligação. As interfaces de pacote LsaCallAuthentication fornecem um mecanismo para obter permissões a partir da cache de permissão Kerberos.

Pergunta

As extensões Microsoft disponibilizar para Kerberos?

Resposta

Microsoft implementou as seguintes extensões que são publicadas como projectos de norma de Internet IETF:

Protocol? Kerberos definir palavra-passe

Pergunta

O que está nos dados de autorização de permissão Kerberos?

Resposta

Os dados de autorização o Kerberos foi concebidos pelos autores seguintes RFC para implementar os dados de autorização específicas do fornecedor: Windows 2000 utiliza este campo para armazenar dados específicos do respectivo mecanismo de segurança distribuída. Estas são descritas nas páginas 667 669 manual de sistemas distribuídos do Windows 2000 Server. Informações sobre utilização pretendida do campo autorização estão localizadas na RFC seguinte:

Pergunta

Como o Windows 2000 manter sistema relógios sincronizados?

Resposta

Os clientes do Windows 2000 utilizam a versão seguinte do Simple Network SNMP (Management Protocol): Sincronização de hora utiliza o tempo universal UTC (coordenadas) que é independente de fuso horário. Um computador determina a respectiva origem de hora utilizando um algoritmo complexo que envolvam sites, domínios, FSMO de PDC e servidores de hora fiável. O serviço de hora é controlado pelo utilizando o comando net time . O acto de aderir a um domínio permite o serviço Hora do Windows 2000 para que seja automaticamente iniciado no arranque. Quando comunicar com computadores com o Windows 2000, os pacotes de tempo são protegidos com um hash assinado as informações de tempo. Segurança baseia-se o canal seguro do Windows NT e chave de assinatura é determinado pela conta de computador do cliente.

Pergunta

Os tipos de encriptação que o Windows 2000 suporta?

Resposta

O Windows 2000 suporta os seguintes tipos de encriptação:

HMAC RC4

DES CBC-CRC

DES CBC-MD5

Pergunta

Como posso saber que bilhetes Kerberos tenho?

Resposta

Bilhetes Kerberos são mantidos na cache de permissão, a LSA e a cache é destruída quando o utilizador inicia. Só o utilizador com sessão iniciada tem acesso para as permissões a cache. Os utilitários do Resource Kit Klist.exe ou Kerbtray.exe podem ser utilizados para examinar as permissões na cache.

Pergunta

Windows 2000 suporta Pkinit?

Resposta

Kerberos do Windows 2000 fornece uma implementação da versão de rascunho Pkinit 9. A utilização específica de Pkinit no Windows 2000 está limitada para início de sessão de SmartCard de suporte. Pkinit não foi testado com outras implementações desde o lançamento do Windows 2000.

Pergunta

Quais são as durações de permissão predefinidas?

Resposta

As durações de permissão predefinidas são controladas ao nível do domínio utilizando a política de domínio. As predefinições são:

• MaxServiceTicketAge: 10 horas
• MaxTicketAge: 10 horas
• MaxRenewAge: 7 dias
  
• MaxClockSkew: 5 minutos
  

Pergunta

O que significa Impor restrições de início de sessão ?

Resposta

Existe uma definição para a política Kerberos denominada Impor restrições de início de sessão . Com esta definição activada, sempre que um utilizador utiliza uma senha-concessão de-autorização (TGT) para o pedido de uma permissão, a conta será verificada para verificar se é ainda válido. Que iria impedir que uma conta desactivada obter bilhetes de sessão de novo.

Pergunta

Como utilizar a delegação?

Resposta

Delegação permite que um serviço para agir como o utilizador com acesso do utilizador a recursos de rede. Isto requer que o cliente para reencaminhar TGT de um utilizador para o serviço para que o pode pedir permissões de um KDC, Key Distribution Center no nome do utilizador. Uma vez que o serviço é capaz de funcionar como o utilizador, é importante que o serviço seja fidedigno antes de atribuir-lhe a TGT. Windows 2000 tem controlos que podem limitar quando um serviço fornece TGT de um utilizador quando é pedida delegação.

As revisões de Kerberos Internet Draft Especifica um novo sinalizador de permissão - "OK como delegar". Windows 2000 KDC define este sinalizador permissões de serviço que tenham o fidedigno para delegação conta controlo sinalizador definido. Se a permissão de serviço tiver o sinalizador definido OK como delegado , o SSPI reencaminha TGT do utilizador para o serviço se o programa SSPI pedido de delegação. Se não for definido o sinalizador de permissão, o sinalizador de delegação de SSPI é ignorado e não é reencaminhada a TGT.

Se estiver a utilizar com um KDC não define o sinalizador de permissão, pode definir o RealmFlags na configuração de registo para o domínio externo considerar fidedigno o domínio fidedigno para delegação. Definir o sinalizador RealmFlags para um valor de 4 permite esta funcionalidade.

Para obter informações adicionais sobre a definição do registo RealmFlags, consulte o Windows 2000 Registry Reference (regentry.chm) incluído no Windows 2000 Resource Kit.

Pergunta

Windows 2000 suporta SPNEGO (RFC-2478)?

Resposta

Sim. A interface Negociar SSP implementa SPNEGO. A interface Negociar SSP é o pacote predefinido comuns que utilizam a maioria dos programas no Windows 2000.

Pergunta

Tem clientes Telnet e o protocolo de transferência de ficheiros (FTP, File Transfer Protocol) no Windows 2000 Kerberized?

Resposta

Os serviços Telnet e FTP no Windows 2000 não utilizam Kerberos para autenticação.

Os produtos de outros fabricantes explicado neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente ao desempenho ou fiabilidade destes produtos.