Ответы на часто задаваемые вопросы Kerberos

Код статьи: 266080 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

На этой странице

Аннотация

В данной статье приведены ответы на часто задаваемые вопросы о Реализация Microsoft Windows 2000 проверка подлинности Kerberos V5 протокол.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Вопрос

Может использоваться в реализации Windows 2000 Kerberos другие реализации Kerberos?

Ответ

Реализация Windows 2000 Kerberos была разработана на основе в следующих документах RFC:

Kerberos

http://www.IETF.org/RFC/rfc1510.txt?Number=1510
(http://www.ietf.org/rfc/rfc1510.txt?number=1510)

Механизм Kerberos V5 GSSAPI

http://www.IETF.org/RFC/rfc1964.txt?Number=1964
(http://www.ietf.org/rfc/rfc1964.txt?number=1964)


Тестирование с MIT Kerberos версии 1.0.5, 1.0.6 и 1.1.1 указывает, что взаимодействие существует несколько сценариев, которые описаны в Следующий официальный документ Kerberos взаимодействие Windows 2000:
http://TechNet.Microsoft.com/en-us/library/bb742432.aspx
(http://technet.microsoft.com/en-us/library/bb742432.aspx)
Тестирование совместимости с Heimdal, также произошло CyberSafe, IBM и Sun реализаций.

В Microsoft Windows 2000 Реализация Kerberos соответствие RFC следующее:
http://www.IETF.org/RFC/rfc1510.txt?Number=1510
(http://www.ietf.org/rfc/rfc1510.txt?number=1510)
http://www.IETF.org/RFC/rfc1964.txt?Number=1964
(http://www.ietf.org/rfc/rfc1964.txt?number=1964)
Реализация Microsoft Windows 2000 Kerberos V5 — нет содержит поддержку Kerberos V4.

Вопрос

Как программа установки доверия между сферами для домена Windows 2000?

Ответ

Описываются шаги в пошаговом руководстве Kerberos 5 (krb5 1.0) Взаимодействие:
http://TechNet.Microsoft.com/en-us/library/bb742433.aspx
(http://technet.microsoft.com/en-us/library/bb742433.aspx)

Вопрос

Windows 2000 поддерживает Kadmin?

Ответ

Нет, система Windows 2000 поддерживает протокола LDAP (LDAP) для учетной записи администрирования.

Вопрос

Задайте пароль, изменение протокола поддерживает Windows 2000 для Клиенты Kerberos?

Ответ

Windows 2000 использует протокол Kerberos сменить пароль как описанные в черновик Интернет draft-ietf-cat-kerb-chg-password-02.txt. Это протокол также реализовано в MIT krb5-1.1.1.

Примечание Копировать проект Интернет выше можно найти в образец файла ссылки в нижней части этой ссылки веб-страницы.

Вопрос

Как Windows 2000 найдите центров распределения ключей (KDC)?

Ответ

Клиенты Windows 2000 используют записи SRV доменных имен (DNS) для находить контроллеры домена в домене, и они пытаются решить _ldap._tcp.DC._msdcs SRV-записи. Контроллеры домена Windows 2000 также публикации SRV-записи для службы _kerberos и _kpasswd. Список опубликованных SRV записи можно найти на контроллере домена в следующем файле:
%Windir%\System32\Config\Netlogon.DNS

Вопрос

Windows 2000 поддерживает общие приложения службы безопасности Программирование интерфейса (GSSAPI))RFC 2743
(http://www.ietf.org/rfc/rfc2743.txt?number=2743)
)?

Ответ

Корпорация Майкрософт поддерживает интерфейс поставщика поддержки безопасности (SSPI) что семантически подобно GSSAPI, но синтаксически другой. Для Дополнительные сведения о SSPI, содержатся в разделе Windows Platform SDK корпорации Майкрософт. В протокол, используемый путем поддержки поставщика Kerberos безопасности (SSP) является такой же, как используется механизм GSSAPI Kerberos5, определенный в RFC следующие:
http://www.IETF.org/RFC/rfc1964.txt?Number=1964
(http://www.ietf.org/rfc/rfc1964.txt?number=1964)

Вопрос

Windows 2000 поддерживает интерфейсы программирования приложений Krb5 (API) s?

Ответ

Но. Только интерфейсы Kerberos, поддерживаемых Windows 2000 через SSPI и интерфейсы билет LsaCallAuthenticationPackage() можно найти в пакете Windows Platform SDK. Интерфейсы SSPI эквивалентны Kerberos GSSAPI и создание приложения, использующего GSSAPI/kerberos5 mechtype)RFC-1964
(http://www.ietf.org/rfc/rfc1964.txt?number=1964)
) на провода. Интерфейсы LsaCallAuthentication пакета предоставляют механизм, позволяющий получить билеты из кэша билетов Kerberos.

Вопрос

Какие расширения Microsoft внести Kerberos?

Ответ

Корпорация Майкрософт реализовала следующие расширения, которые являются опубликовано как проектов IETF:

Установка пароля Kerberos protocol?
http://www.IETF.org/RFC/rfc3244.txt
(http://www.ietf.org/rfc/rfc3244.txt)

Вопрос

Что такое данные авторизации билет Kerberos?

Ответ

Данные авторизации в билет Kerberos был предназначен Следующие RFC авторам реализации авторизации поставщика данных:
http://www.IETF.org/RFC/rfc1510.txt?Number=1510
(http://www.ietf.org/rfc/rfc1510.txt?number=1510)
Windows 2000 использует это поле для хранения данных, относящихся к его механизм распределенной системы безопасности. Это описано в Windows 2000 Server Распределенные системы руководству 667-669. Информация на предполагаемое использование поле авторизации находится в следующих RFC:
http://www.IETF.org/RFC/rfc1510.txt?Number=1510
(http://www.ietf.org/rfc/rfc1510.txt?number=1510)

Вопрос

Как Windows 2000 поддерживать синхронизацию системных часов?

Ответ

Клиенты Windows 2000 с помощью следующей версии простой сети Время Protocol (протокол SNTP):
http://www.ietf.org/rfc/rfc1769.txt?number=1769
(http://www.ietf.org/rfc/rfc1769.txt?number=1769)
Во время синхронизации используется координации времени (UTC) которого не зависит от часовых поясов. Компьютер определяет своего источника времени, следуя сложный алгоритм, включающие сайты, домены, PDC FSMO и надежным источником времени Серверы. Служба времени управляется с помощью Чистое времякоманда. Операция присоединения к домену так позволяет службе времени Windows 2000 что он автоматически запускается при загрузке. При работе с Windows 2000 компьютеры, время пакеты являются безопасными с подписанным хэшем сведения о времени. Безопасность основана на Windows NT безопасного канала и ключ подписи Определяет учетную запись компьютера клиента.

Вопрос

Какой тип шифрования поддерживается в Windows 2000?

Ответ

Windows 2000 поддерживает следующие типы шифрования:

КОД HMAC RC4

DES CBC КОНТРОЛЬНОЙ СУММЫ.

DES-CBC-MD5

Длина ключа шифрования Kerberos:
Свернуть эту таблицуРазвернуть эту таблицу
Проверка подлинностиПодписиКонфиденциальность
КОД HMAC RC4128128128 (с высоким 56 Пакетом шифрования
DES CBC КОНТРОЛЬНОЙ СУММЫ.565656
DES-CBC-MD5565656

Вопрос

Как узнать какие билеты Kerberos, у меня?

Ответ

Билеты Kerberos хранятся в кэше билетов с LSA и кэш уничтожается, когда пользователь выполняет выход из системы. Только текущий пользователь имеет доступ Чтобы билеты в кэше. Программы набор ресурсов Klist.exe или Можно использовать программу Kerbtray.exe проверьте билеты в кэше.

Вопрос

Windows 2000 поддерживает Pkinit?

Ответ

Windows 2000 Kerberos предоставляет реализацию Pkinit черновик версия 9. Ограничение использования Pkinit в Windows 2000 Поддержка смарт-карты входа. PKINIT не тестировалась с другими реализации начиная с выпуска Windows 2000.

Вопрос

Что такое время жизни билета по умолчанию?

Ответ

Время жизни билета по умолчанию контролируется на уровне домена с помощью политики домена. По умолчанию являются:
  • MaxServiceTicketAge: 10 часов
  • MaxTicketAge: 10 часов
  • MaxRenewAge: 7 дней
  • MaxClockSkew: 5 минут

Вопрос

Что делает Принудительные ограничения входа означает ли это?

Ответ

Установка проверки подлинности Kerberos политика с именем Принудительные ограничения входа. Если эта политика включена, каждый раз, когда пользователь использует Проверка билета предоставление билета (TGT для запроса билета, учетная запись) по Если это еще не истек. Получение новых, исключают отключенной учетной записи пользователя билеты сеансов.

Вопрос

Как использовать делегирование?

Ответ

Делегирование позволяет использовать службу в качестве пользователя с этим пользователем доступ к сетевым ресурсам. Для этого требуется клиент для пересылки TGT пользователя для службы, так что он может отправить запрос билеты KDC от имени пользователя. Поскольку служба могла работать как пользователя, важно, службы Надежные перед проведением его в Windows 2000 TGT. имеет элементы управления, которые могут ограничить Когда служба предоставляет TGT пользователя при запросе делегирования.

Kerberos редакции проект стандарта Интернета указывает новый билет флаг-"ОК делегат". Windows 2000 KDC устанавливает этот флаг в билеты службы, имеющие Доверенный для делегирования установлен флаг управления учетной записью. Если имеет билет службы ОК как делегат флаг установлен, а затем SSPI перенаправляет TGT пользователя к службе, если программа SSPI делегирование. Если билет флаг не установлен, то флаг делегирования SSPI является игнорируется и TGT не пересылаются.

При работе с KDC не установлен флаг билет, RealmFlags можно настроить в реестре Конфигурация для внешней области доверия со сферой для делегирования. Параметр флаг RealmFlags значение 4 включает эту функцию.

Для Дополнительные сведения о параметре реестра RealmFlags просмотра Windows Ссылка реестра 2000 (Regentry.chm), включенных в Windows 2000 ресурс Комплект.

Вопрос

Windows 2000 поддерживает SPNEGO)RFC 2478
(http://www.ietf.org/rfc/rfc2478.txt?number=2478)
)?

Ответ

"Да". Согласование SSP реализует SPNEGO. Поставщик Negotiate распространенные пакета по умолчанию, большинство программ в Windows 2000.

Вопрос

Клиенты Telnet и File Transfer Protocol (FTP) в Windows 2000 С поддержкой сервера Kerberos?

Ответ

Telnet и FTP-сервера в Windows 2000 следует использовать Kerberos для проверки подлинности.

Продукты независимых производителей, обсуждаемые в этой статье производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не гарантий, явных или подразумеваемых, в отношении производительности или надежности Эти продукты.
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 266080 - Последнее изменение :: 5 июня 2011 г. - Редакция: 4.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kb3rdparty kbFAQ kbinfo kbkerberos kbmt KB266080 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:266080
(http://support.microsoft.com/kb/266080/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы