Respostas para perguntas freqüentes do Kerberos

Traduções deste artigo Traduções deste artigo
ID do artigo: 266080 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo responde a perguntas freqüentes sobre a implementação do Microsoft Windows 2000 do protocolo de autenticação Kerberos V5.

Mais Informações

Pergunta

É a implementação do Windows 2000 Kerberos interoperável com outras implementações do Kerberos?

Resposta

A implementação do Kerberos no Windows 2000 foi desenvolvida com base nas seguintes RFCs:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Mecanismo do Kerberos V5 GSSAPI

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Teste com o MIT Kerberos versões 1.0.5, 1.0.6 e 1.1.1 indicam que existe interoperabilidade para um número de cenários descritos o whitepaper de interoperabilidade de Kerberos do Windows 2000 a seguir:
http://technet.microsoft.com/en-us/library/bb742432.aspx
Testes de interoperabilidade também ocorreu com implementações Heimdal, CyberSafe, IBM e Sun.

A implementação de Kerberos do Microsoft Windows 2000 é compatível com as RFCs a seguir:
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
A implementação do Microsoft Windows 2000 do Kerberos V5 não há suporte para Kerberos V4.

Pergunta

Como eu configurar uma relação de confiança cruzada territórios para um domínio do Windows 2000?

Resposta

As etapas são descritas no guia passo a passo para Kerberos 5 (krb5 1.0) Interoperability:
http://technet.microsoft.com/en-us/library/bb742433.aspx

Pergunta

O Windows 2000 oferece suporte à Kadmin?

Resposta

Não, Windows 2000 dá suporte a Lightweight Directory Access Protocol (LDAP) para administração de contas.

Pergunta

Que senha alterar protocolo Windows 2000 dá suporte para Kerberos clientes?

Resposta

Windows 2000 implementa o protocolo Kerberos alterar senha conforme descrito no rascunho da Internet draft-ietf-cat-kerb-chg-password-02.txt. Este protocolo também é implementado no MIT krb5-1.1.1.

Observação Uma cópia do rascunho da Internet mencionado acima pode ser encontrada no link do arquivo de exemplo na parte inferior deste link de página da Web.

Pergunta

Como Windows 2000 Localize o centros de distribuição de chave (KDCs)?

Resposta

Clientes do Windows 2000 usam registros do servidor Domain Name System (DNS) para localizar controladores de domínio em um domínio e tentam resolver os registros SRV _ldap._tcp.dc._msdcs. Controladores de domínio do Windows 2000 também publicam registros SRV para serviços _kerberos e _kpasswd. A lista do servidor publicado registros podem ser encontrados em um controlador de domínio o seguinte arquivo:
%Windir%\System32\Config\Netlogon.DNS

Pergunta

Windows 2000 dá suporte a General Security Service Application Programming Interface (GSSAPI) (RFC-2743)?

Resposta

A Microsoft oferece suporte a segurança suporte interface do provedor (SSPI) que é semanticamente semelhante para a GSSAPI, mas sintaticamente diferentes. Para obter informações adicionais sobre SSPI, consulte o Microsoft Windows Platform SDK. O protocolo usado pelo provedor de suporte de segurança para Kerberos (SSP) é o mesmo usado pelo mecanismo GSSAPI Kerberos5 definido na RFC seguinte:
http://www.ietf.org/rfc/rfc1964.txt?number=1964

Pergunta

O Windows 2000 oferece suporte Krb5 Application Programming Interfaces (API) s?

Resposta

Não. As interfaces Kerberos apenas que oferece suporte ao Windows 2000 estão através do SSPI e as interfaces de tíquete LsaCallAuthenticationPackage() documentadas no Windows Platform SDK. As interfaces SSPI são equivalentes a GSSAPI Kerberos e produzir um aplicativo que usa a GSSAPI/kerberos5 mechtype (RFC-1964) na conexão. As interfaces de pacote LsaCallAuthentication fornecem um mecanismo para recuperar tíquetes de cache do tíquete Kerberos.

Pergunta

Quais extensões Microsoft fazer para Kerberos?

Resposta

A Microsoft implementou as seguintes extensões que são publicadas como Internet Drafts do IETF:

Definir senha do Kerberos protocol?
http://www.ietf.org/rfc/rfc3244.txt

Pergunta

O que é nos dados de autorização do tíquete Kerberos?

Resposta

Os dados de autorização no tíquete Kerberos foi desenvolvidos pelos autores RFC a seguintes para implementar dados específicos do fornecedor autorização:
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Windows 2000 usa esse campo para armazenar dados específicos para seu mecanismo de segurança distribuído. Isso é descrito nas páginas do Windows 2000 Server Distributed Systems Guide 667 669. Informações sobre uso pretendido do campo autorização estão localizadas na RFC do seguinte:
http://www.ietf.org/rfc/rfc1510.txt?number=1510

Pergunta

O Windows 2000 manter sistema relógios sincronizados?

Resposta

Os clientes do Windows 2000 usam a versão seguinte de rede simples (SNTP Time Protocol):
http://www.ietf.org/rfc/rfc1769.txt?number=1769
Sincronização de horário usa hora universal coordenada (UTC) que é independente do fuso horário. Um computador determina sua fonte de tempo seguindo um algoritmo complexo envolvendo sites, domínios, PDC FSMO e servidores de horário confiável. O serviço de tempo é controlado pelo usando o comando net time . O ato de ingressar em um domínio permite que o serviço horário do Windows 2000 para que ele começará automaticamente na inicialização. Ao se comunicar com computadores com Windows 2000, pacotes de tempo são protegidos com um hash assinado das informações de tempo. Segurança se baseia o canal seguro do Windows NT e chave de assinatura é determinado pela conta do computador do cliente.

Pergunta

Que tipos de criptografia dá suporte a Windows 2000?

Resposta

Windows 2000 dá suporte aos seguintes tipos de criptografia:

HMAC RC4

DES CBC-CRC

DES CBC-MD5

Kerberos lengths de chave de criptografia:
Recolher esta tabelaExpandir esta tabela
AutenticaçãoAssinaturaPrivacidade
HMAC RC412812856 (128 com o High Encryption Pack instalado
DES CBC-CRC565656
DES CBC-MD5565656

Pergunta

Como posso saber quais permissões Kerberos que tenho?

Resposta

As permissões Kerberos são mantidas no cache do tíquete pela LSA e o cache é destruído quando o usuário faz check-out. Somente o usuário conectado tem acesso às permissões no cache. Os utilitários de Resource Kit Klist.exe ou KERBTRAY.exe podem ser usados para examinar as permissões no cache.

Pergunta

O Windows 2000 oferece suporte à Pkinit?

Resposta

Kerberos ao Windows 2000 fornece uma implementação do Pkinit rascunho versão 9. O uso específico de Pkinit no Windows 2000 é restrito a oferecer suporte a logon de cartão inteligente. Pkinit não foi testado com outras implementações de desde o lançamento do Windows 2000.

Pergunta

O que são a vida útil padrão de permissões?

Resposta

A vida útil padrão de permissões é controladas no nível do domínio pela usando diretiva de domínio. Os padrões são:
  • MaxServiceTicketAge: 10 horas
  • MaxTicketAge: 10 horas
  • MaxRenewAge: 7 dias
  • MaxClockSkew: 5 minutos

Pergunta

O que significa Aplicar restrições de logon ?

Resposta

Há uma configuração para a diretiva Kerberos denominada Aplicar restrições de logon . Com essa configuração ativada, toda vez que um usuário usa um tíquete-concedendo-permissão (TGT) para solicitação de uma permissão, a conta é verificada para ver se ele ainda é válido. Que impediria que uma conta desabilitada obter tíquetes de sessão nova.

Pergunta

Como usa delegação?

Resposta

Delegação permite que um serviço para atuar como o usuário com acesso do usuário aos recursos da rede. Isso requer que o cliente encaminhar a TGT de um usuário para o serviço para que ele pode solicitar tíquetes de um KDC em nome do usuário. Como o serviço é capaz de atuar como o usuário, é importante que o serviço seja confiável antes de dar a ele o Windows 2000 de TGT. tem controles que podem limitar quando um serviço fornece TGT de um usuário quando a delegação é solicitada.

As revisões de Kerberos Internet Draft Especifica um novo sinalizador permissão - "OK como delegar". O Windows 2000 KDC define esse sinalizador de tíquetes de serviço que têm o sinalizador de controle de conta confiável para delegação definido. Se o tíquete de serviço tiver o sinalizador definido OK como representante , o SSPI encaminha TGT do usuário para o serviço se o programa SSPI solicitado delegação. Se o sinalizador de permissão não estiver definido, o sinalizador de delegação do SSPI é ignorado e o TGT não é encaminhado.

Se você estiver executando com um KDC não define o sinalizador de permissão, você pode definir o RealmFlags na configuração do Registro para o território externo para relação de confiança de território para delegação. Definindo o sinalizador RealmFlags como um valor de 4 ativa esse recurso.

Para obter informações adicionais sobre a configuração de registro RealmFlags, consulte Windows 2000 Registry Reference (Regentry.chm) incluído no Windows 2000 Resource Kit.

Pergunta

O Windows 2000 oferece suporte à SPNEGO (RFC-2478)?

Resposta

Sim. O Negotiate SSP implementa SPNEGO. O Negotiate SSP é o pacote padrão comuns que usam a maioria dos programas no Windows 2000.

Pergunta

Tem clientes Telnet e FTP (File Transfer Protocol) no Windows 2000 Kerberized?

Resposta

Os serviços FTP e Telnet no Windows 2000 não usam o Kerberos para autenticação.

Os produtos de terceiros mencionados neste artigo são fabricados por empresas que são independentes da Microsoft. A Microsoft não oferece garantia, implícita ou não, em relação ao desempenho ou à confiabilidade desses produtos.

Propriedades

ID do artigo: 266080 - Última revisão: quarta-feira, 28 de fevereiro de 2007 - Revisão: 7.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbmt kb3rdparty kbfaq kbinfo kbkerberos KB266080 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 266080

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com