Kerberos ile sık sorulan soruların yanıtları

Makale çevirileri Makale çevirileri
Makale numarası: 266080 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, Microsoft Windows 2000 uygulaması Kerberos V5 kimlik do?rulamas? ileti?im kural? hakkında sık sorulan sorular yanıtlanmaktadır.

Daha fazla bilgi

Soru

Windows 2000 Kerberos uygulaması, diğer Kerberos uygulamaları ile birlikte mi?

Yanıt

Kerberos, Windows 2000 uygulaması aşağıdaki RFC'ler göre geliştirilmiştir:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

Kerberos V5 mekanizması GSSAPI

http://www.ietf.org/rfc/rfc1964.txt?number=1964

MIT Kerberos ile sınama sürüm 1.0.5, <a2>1.0.6</a2> ve <a4>1.1.1 birlikte çalışabilirlik için aşağıdaki Windows 2000 Kerberos birlikte çalışabilirlik teknik inceleme ' açıklanan senaryolarda çok sayıda bulunduğunu gösterir:
http://technet.microsoft.com/en-us/library/bb742432.aspx
Birlikte çalışabilirlik sınaması Heimdal CyberSafe, IBM ve Sun uygulamaları ile oluştu.

Microsoft Windows 2000 Kerberos uygulaması aşağıdaki RFC'ler ile uyumludur:
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
Microsoft Windows 2000 uygulaması Kerberos V5, Kerberos V4 desteği içermiyor.

Soru

Nasıl ı bir Windows 2000 etki alanı için çapraz-bölge güveni Kur?

Yanıt

Kerberos 5 adım adım Kılavuzu'nda özetlenen adımları (krb5 1.0) ınteroperability:
http://technet.microsoft.com/en-us/library/bb742433.aspx

Soru

Windows 2000 Kadmin destekliyor mu?

Yanıt

Hayır, Windows 2000, Basit Dizin Erişim Protokolü destekler (LDAP) hesap yönetimi.

Soru

Iletişim kuralı değiştirmek için hangi parolayı Windows 2000, Kerberos istemcilerinin destekliyor mu?

Yanıt

Kerberos Parola değiştirme iletişim kuralı, Windows 2000 draft-ietf-cat-kerb-chg-password-02.txt ınternet taslağında açıklanan uygular. Bu iletişim kuralının MIT krb5-1.1.1 da uygulanır.

Not Yukarıda başvurulan ınternet taslağında BIR kopyasını bu Web sayfası bağlantısının alt örnek dosya bağlantı bulunamıyor.

Soru

Windows 2000 anahtar dağıtım merkezleri (KDCs) bulun nasıl?

Yanıt

Windows 2000 istemcileri, bir etki alanında etki alanı denetleyicilerini bulmak için etki alanı adı sistemi (DNS) hizmet (SRV) SRV kayıtlarını kullanır ve _ldap._tcp.dc._msdcs SRV kayıtlarını çözümlemeye. Ayrıca, Windows 2000 etki alanı denetleyicilerine _kerberos ve _kpasswd Hizmetleri için SRV kayıtlarının yayımlanır. Liste yayımlanmış SRV kayıtlarını aşağıdaki dosya içinde bir etki alanı denetleyicisinde bulunabilir:
%Windir%\System32\Config\Netlogon.DNS

Soru

Windows 2000 desteği genel güvenlik hizmeti uygulama programı arabirimi (GSSAPI) (RFC-2743)?

Yanıt

Microsoft, güvenlik desteği sağlayıcısı arabirimi (GSSAPI semantically benzer, ancak sözdizimi kurallarına göre farklı olan SSPI) destekler. SSPI hakkında ek bilgi için Microsoft Windows Platform SDK konusuna bakın. Kerberos Güvenlik Destek Sağlayıcısı (SSP) tarafından kullanılan iletişim kuralı aşağıdaki RFC'DE tanımlandığı GSSAPI Kerberos5 mekanizması tarafından kullanılan aynıdır:
http://www.ietf.org/rfc/rfc1964.txt?number=1964

Soru

Windows 2000 desteği Krb5 uygulama programı arabirimleri (API) s?

Yanıt

Hayır. Windows 2000 desteklediği SSPI yalnızca Kerberos arabirimler ve LsaCallAuthenticationPackage() bilet arabirimleri Windows Platform SDK'DA belgelenmiştir. SSPI arabirimler için Kerberos GSSAPI eşdeğerdir ve GSSAPı/kerberos5 kullanan bir uygulama oluşturmak mechtype (RFC-1964) ağ üzerinde. LsaCallAuthentication paketi arabirimleri, Kerberos bileti önbelleğinden bilet almak için bir düzenek sağlar.

Soru

Hangi uzantıları, Microsoft için Kerberos yapmak?

Yanıt

Microsoft, IETF ınternet taslakları yayımlanır aşağıdaki uzantılardan uygulamıştır:

Kerberos parola ayarlama protocol?
http://www.ietf.org/rfc/rfc3244.txt

Soru

Kerberos bileti yetkilendirme verileri nedir?

Yanıt

Kerberos bileti yetkilendirme verileri, aşağıdaki RFC yazarlar tarafından satıcıya özel yetkilendirme verilerinin uygulamak için tasarlanmıştır:
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Windows 2000, veri, dağıtılmış güvenlik mekanizması için özel olarak tutmak için bu alanı kullanır. Bu Windows 2000 Server Dağıtılmış Sistemler Kılavuzu sayfalarında 667 669 açıklanır. Kullanma hakkında bilgi <a0>yetkilendirme</a0> alanının şu RFC'DE bulunur:
http://www.ietf.org/rfc/rfc1510.txt?number=1510

Soru

Windows 2000 sistem saatleri eşzamanlı tutmak nasıl?

Yanıt

Basit Ağ sürümünü aşağıdaki Windows 2000 istemcileri kullanmak Saati Protokolü (SNTP):
http://www.ietf.org/rfc/rfc1769.txt?number=1769
Saat eşitlemesi evrensel zaman koordinatı (saat dilimi bağımsız olan UTC) kullanır. Bir bilgisayar, site, etki alanı PDC FSMO ve güvenilir bir saat sunucuları da içeren karmaşık bir algoritma izleyerek, zaman kaynağını belirler. Zaman hizmeti, net time</a0> komutu kullanılarak denetlenir. Bir etki alanına katılma işlemi Windows 2000 zaman hizmetini sağlar, böylece önyükleme sırasında otomatik olarak başlar. Windows 2000 bilgisayarları ile iletişim kurarken, zaman paketleri zaman bilgilerini imzalı karmasını güvenli. Güvenlik Windows NT güvenli kanalı dayanır ve imza anahtarı makine hesabının istemci tarafından belirlenir.

Soru

Hangi şifreleme türleri, Windows 2000 destekliyor mu?

Yanıt

Windows 2000 aşağıdaki şifreleme türünü destekler:

RC4 hmac

des-cbc-crc

des-cbc-MD5

Kerberos şifreleme anahtarı yüksekliği:
Bu tabloyu kapaBu tabloyu aç
kimlik doğrulamasıImzalamaGizlilik
RC4 hmac128128High Encryption Pack yüklü, 128 (56
des-cbc-crc565656
des-cbc-MD5565656

Soru

KENDIM izleyeceğim hangi Kerberos biletleri dışında nasıl bulurum?

Yanıt

Kerberos biletleri LSA tarafından bilet önbelleğinde tutulur ve kullanıcı oturumu önbelleği yok edilir. Yalnızca oturum açan kullanıcının biletleri önbelleğe erişebilir. Kaynak Seti yardımcı programları Klist.exe veya Kerbtray.exe önbelleğindeki biletleri incelemek için kullanılır.

Soru

Windows 2000 Pkinit destekliyor mu?

Yanıt

Windows 2000 Kerberos Pkinit taslağı sürüm 9 uygulaması sağlar. Windows 2000'de Pkinit belirli kullanımı, akıllı kart oturum açma'yı desteklemek için sınırlanmıştır. Windows 2000'in yayımlanmasından bu yana diğer uygulamaları ile pkinit sınanmamıştır.

Soru

Varsayılan anahtar ömürleri nelerdir?

Yanıt

Varsayılan anahtar yaşam süreleri, etki alanı ilkesi'ni kullanarak etki alanı düzeyinde denetlenir. Varsayılan ayarlar şunlardır:
  • MaxServiceTicketAge: 10 saat
  • MaxTicketAge: 10 saat
  • MaxRenewAge: 7 gün
  • MaxClockSkew: 5 dakika

Soru

Oturum açma kısıtlamalarını uygula ne anlama gelir?

Yanıt

Oturum açma kısıtlamalarını uygula adlı Kerberos ilkesi için bir ayar yoktur. Bu ayar etkinse, kullanıcı isteği için bir bilet-sağlayan-bilet (TGT) kullanan her hesabın bir bilet hala geçerli olup olmadığını görmek için denetlenir. Yeni Oturum biletleri elde etmesine, devre dışı bırakılmış bir hesaba engeller.

Soru

Temsilci seçme nasıl kullanırım?

Yanıt

Temsilci seçme, kullanıcının ağ kaynaklarına erişimi olan kullanıcı olarak hizmet verir. Bu, bilet kullanıcı adına bir KDC isteyebilirsiniz böylece kullanıcının TGT hizmetine iletmek üzere istemci gerektirir. Hizmetin, kullanıcı olarak davranma olanağına olduğundan, bu TGT Windows 2000 verme, temsilci istendiğinde kullanıcı TGT sağlayan bir hizmet yükleyen sınırlayabilirsiniz denetimleri sahip önce hizmetin güvenilir önemlidir.

Kerberos düzenlemeler, yeni bir bilet bayrağı - "temsilci olarak Tamam" ınternet taslağı belirtir. Windows 2000 KDC Bu bayrağı ayarlanmış temsilci seçme için güvenilir hesap denetim bayrağı olan hizmet biletleri ayarlar. Hizmet biletinin Tamam temsilci olarak bayrağı ayarlı ise, program SSPI temsilci seçme istendiyse SSPI kullanıcının TGT hizmetine iletir. Bilet bayrağı ayarlanmamışsa, SSPI temsilci bayrak yoksayıldı ve TGT değil iletilir.

Bilet bayrağı ayarlanmış bir KDC ile çalışıyorsa, bölge temsilci seçme için güvenmek dış erişim için <a1>Kayıt</a1> yapılandırmasındaki RealmFlags ayarlayabilirsiniz. RealmFlags bayrak değerini 4 olarak ayarlamak, bu özelliği sağlar.

RealmFlags kayıt defteri ayarı hakkında ek bilgi için bkz: Windows 2000 kayıt defteri Windows 2000 Kaynak Seti'nde bulunan başvuru (Regentry.chm).

Soru

Windows 2000 SPNEGO (RFC-2478) destekliyor mu?

Yanıt

EVET. Negotiate SSP SPNEGO uygular. Negotiate SSP programların çoğu Windows 2000'de kullandığınız ortak varsayılan paketidir.

Soru

Telnet ve Dosya Aktarım Protokolü (FTP) istemcileri Windows 2000 Kerberized misiniz?

Yanıt

Telnet ve FTP hizmetleri Windows 2000'de, kimlik doğrulama için Kerberos kullanmaz.

Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft bu ürünlerin performans veya güvenilirliğiyle ilgili hiçbir garanti vermemektedir.

Özellikler

Makale numarası: 266080 - Last Review: 28 Şubat 2007 Çarşamba - Gözden geçirme: 7.5
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Anahtar Kelimeler: 
kbmt kb3rdparty kbfaq kbinfo kbkerberos KB266080 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:266080

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com