Kerberos 常见问题解答

文章翻译 文章翻译
文章编号: 266080 - 查看本文应用于的产品
本文的发布号曾为 CHS266080
展开全部 | 关闭全部

本文内容

概要

本文解答有关 Microsoft Windows 2000 中 Kerberos V5 身份验证协议实现的常见问题。

更多信息

问题

Windows 2000 Kerberos 实现与其他 Kerberos 实现是否具有互操作性?

回答

Windows 2000 中 Kerberos 实现的开发基于以下 RFC:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

GSSAPI Kerberos V5 机制

http://www.ietf.org/rfc/rfc1964.txt?number=1964

对 MIT Kerberos 1.0.5、1.0.6 及 1.1.1 版的测试表明,在许多情况下均存在互操作性,如下面的 Windows 2000 Kerberos 互操作性白皮书中所述:
http://www.microsoft.com/windows2000/docs/Kerbinterop.doc
也在 Heimdal、CyberSafe、IBM 及 Sun 的实现中进行了互操作性测试。

Microsoft Windows 2000 Kerberos 实现与以下 RFC 兼容:
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
Microsoft Windows 2000 中 Kerberos V5 的实现不包含对 Kerberos V4 的支持。

问题

如何对 Windows 2000 域设置跨领域信任?

回答

在 Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability(Kerberos 5 (krb5 1.0) 互操作性分步指南)中对这些步骤进行了概括介绍:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/howto/kerbstep.mspx

问题

Windows 2000 支持 Kadmin 吗?

回答

不支持,Windows 2000 支持帐号管理的轻量级目录访问协议 (LDAP)。

问题

Windows 2000 为 Kerberos 客户端支持何种密码更改协议?

回答

Windows 2000 实现 Internet Draft draft-ietf-cat-kerb-chg-password-02.txt 中所述的 Kerberos Change Password 协议。此协议在 MIT krb5-1.1.1 中也可以实现。

注意:也可在此网页链接底部的一个示例文件链接中找到上面所引用的 Internet Draft 的副本。

问题

Windows 2000 如何查找密钥分发中心 (KDC)?

回答

Windows 2000 客户端使用域名系统 (DNS) SRV 记录在域中查找域控制器,并试图解析 _ldap._tcp.dc._msdcs SRV 记录。Windows 2000 域控制器也为 _kerberos 和 _kpasswd 服务发布 SRV 记录。可在下列文件的域控制器中找到已发布的 SRV 记录列表:
%Windir%\System32\Config\Netlogon.dns

问题

Windows 2000 是否支持一般安全性服务应用程序编程接口 (GSSAPI) (RFC -2743)?

回答

Microsoft 支持安全性服务提供程序接口 (SSPI),SSPI 在语义上与 GSSAPI 相近,但在语法上并不相同。有关 SSPI 的其他信息,请参见 Microsoft Windows Platform SDK。Kerberos 安全性支持提供程序 (SSP) 使用的协议与下列 RFC 中所定义的 GSSAPI Kerberos5 机制所使用的协议相同:
http://www.ietf.org/rfc/rfc1964.txt?number=1964

问题

Windows 2000 是否支持 Krb5 应用程序编程接口 (API)?

回答

不支持,Windows 2000 所支持的唯一 Kerberos 接口是通过 SSPI 和 Windows Platform SDK 中记录的 LsaCallAuthenticationPackage() 票证接口而支持的。SSPI 接口与 Kerberos GSSAPI 相同,且在线上生成一个使用 GSSAPI/kerberos5 mechtype (RFC -1964) 的应用程序。LsaCallAuthentication 数据包接口提供从 Kerberos 票证缓存检索票证的机制。

问题

Microsoft 为 Kerberos 提供了哪些扩展功能?

回答

Microsoft 已实现了下列扩展功能,它们是作为 IETF Internet Draft 发布的:

Kerberos 设置密码协议:
https://datatracker.ietf.org/public/idindex.cgi?command=id_detail&id=5055

问题

Kerberos 票证身份验证数据中包括哪些内容?

回答

Kerberos 票证中的身份验证数据是下列 RFC 作者专门为实现特定供应商的身份验证数据而编写的:
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Windows 2000 使用此字段来保留分布式安全机制的特定数据。这在 Windows 2000 Server Distributed Systems Guide(Windows 2000 Server 分布式系统指南)的第 667-669 页中进行了介绍。关于授权字段的合理使用的信息,位于以下 RFC:
http://www.ietf.org/rfc/rfc1510.txt?number=1510

问题

Windows 2000 如何保持系统时钟同步?

回答

Windows 2000 客户端使用下列版本的简单网络时间协议 (SNTP):
http://www.ietf.org/rfc/rfc1769.txt?number=1769
时间同步使用不依赖于时区的通用协调时间 (UTC)。计算机通过执行涉及站点、域、PDC FSMO 和 Reliable Time Servers 的复杂算法来确定其时间源:使用“net time”命令可控制时间服务。加入某个域将启用 Windows 2000 时间服务,以便在启动时自动运行。当时间信息包与 Windows 2000 计算机进行通信时,它是通过时间信息的标记散列进行加密的。安全性基于 Windows NT 安全通道,签名密钥是由客户端的计算机帐户决定的。

问题

Windows 2000 支持哪些加密类型?

回答

Windows 2000 支持以下加密类型:

RC4-HMAC

DES-CBC-CRC

DES-CBC-MD5

Kerberos 加密密钥长度:
收起该表格展开该表格
身份验证签名隐私
RC4-HMAC12812856(128 w/已安装的高度加密包)
DES-CBC-CRC565656
DES-CBC-MD5565656

问题

如何确定我所拥有的 Kerberos 票证?

回答

Kerberos 票证通过 LSA 保留在票证缓存中,当用户注销时,会销毁此缓存。只有登录用户才能访问缓存中的票证。Resource Kit 实用工具 Llist.exe 或 Kerbtray.exe 可用于检查缓存中的票证。

问题

Windows 2000 是否支持 Pkinit?

回答

Windows 2000 Kerberos 提供 Pkinit 9 草稿版的实现。在 Windows 2000 中 Pkinit 的具体使用情况受其所支持 SmartCard 登录的限制。Windows 2000 发布以来,尚未使用其他实现测试过 Pkinit。

问题

什么是默认票证使用寿命?

回答

默认票证使用寿命是使用域策略在域级别控制的。默认值如下:
  • MaxServiceTicketAge:10 小时
  • MaxTicketAge:10 小时
  • MaxRenewAge:7 天
  • MaxClockSkew:5 分钟

问题

强制登录限制是什么意思?

回答

Kerberos 策略中有一个设置称为强制登录限制。启用此设置后,每当用户使用票证授予票证 (TGT) 请求票证时,需要检查帐号以确定其是否有效。这将限制禁用帐号获取新的会话票证。

问题

如何使用委派?

回答

委派允许一个服务以用户身份访问网络资源。这需要客户端将用户的 TGT 转交给服务,以便其可以代表用户从 KDC 请求票证。由于服务可充当用户,因此在将其提供给 TGT 之前,该服务必须是信任的。当请求委派时,Windows 2000 可以控制限制服务何时提供用户 TGT。

Kerberos 修订版 Internet Draft 指定新的票证标记“OK as delegate”。Windows 2000 KDC 在具有“已为委派信任”帐户控制标记设置的服务票证中设置该标记。如果服务票证具有“OK as delegate”标记设置,则当 SSPI 程序请求委派时,SSPI 会将用户的 TGT 转发给服务。如果没有设置票证标记,那么将忽略 SSPI 委派标记,并且不会转发 TGT。

如果运行未设置票证标记的 KDC,则可以在注册表配置中为外部领域设置 RealmFlags 以使委派领域可信。将 RealmFlags 标记值设置为 4 即可启用该功能。

有关 RealmFlags 注册表设置的详细信息,请参见 Windows 2000 资源工具包附带的“Windows 2000 注册表引用 (Regentry.chm)”。

问题

Windows 2000 是否支持 SPNEGO (RFC -2478)?

回答

支持。Negotiate SSP 可以实现 SPNEGO。Negotiate SSP 是 Windows 2000 中大多数程序使用的公共默认信息包。

问题

在 Windows 2000 中,Telnet 和文件传输协议 (FTP) 客户端是否使用 Kerberos 进行身份验证?

回答

Windows 2000 中的 Telnet 和 FTP 服务不使用 Kerberos 进行身份验证。

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。对于这些产品的性能或可靠性,Microsoft 不作任何暗示保证或其他形式的保证。

属性

文章编号: 266080 - 最后修改: 2006年2月16日 - 修订: 7.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbinfo kbkerberos kb3rdparty kbfaq KB266080
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com