常見問題集 Kerberos 問題的答案

文章翻譯 文章翻譯
文章編號: 266080 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將會為您解答有關 Microsoft Windows 2000 實作的 Kerberos V5 驗證通訊協定的常見問題。

其他相關資訊

問題

是 Windows 2000 Kerberos 實作可與其他 Kerberos 實作互通嗎?

答案

Kerberos 的 Windows 2000 實作是根據下列 RFC 所發展的:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

GSSAPI Kerberos V5 機制

http://www.ietf.org/rfc/rfc1964.txt?number=1964

測試 MIT Kerberos 1.0.5、 1.0.6 及 1.1.1 版本,表示交互操作性存在於許多下列 Windows 2000 Kerberos 交互操作性白皮書中所描述的案例:
http://technet.microsoft.com/en-us/library/bb742432.aspx
也 Heimdal、 CyberSafe、 IBM 及太陽實作已發生交互操作性測試。

Microsoft Windows 2000 Kerberos 實作是以下列 RFC 相容:
http://www.ietf.org/rfc/rfc1510.txt?number=1510http://www.ietf.org/rfc/rfc1964.txt?number=1964
Kerberos V5 的 Microsoft Windows 2000 實作並不包含 Kerberos V4 的支援。

問題

如何安裝 Windows 2000 網域的交叉領域信任?

答案

步驟述逐步指南為 Kerberos 5 (krb5 1.0) 交互操作性:
http://technet.microsoft.com/en-us/library/bb742433.aspx

問題

Windows 2000 支援 Kadmin 嗎?

答案

否,Windows 2000 支援輕量型目錄存取通訊協定 (LDAP) 帳戶系統管理。

問題

Windows 2000 支援 Kerberos 用戶端的何種密碼變更通訊協定?

答案

[網際網路草稿 draft-ietf-cat-kerb-chg-password-02.txt 所述,Windows 2000 會實作 Kerberos 變更密碼通訊協定。此通訊協定也是在 MIT krb5 1.1.1 中實作。

附註網際網路草稿參考上述的複本,請參閱此 Web 網頁連結的底部的 [範例] 檔案連結。

問題

Windows 2000 不會如何尋找金鑰發佈中心 (KDCs)?

答案

Windows 2000 用戶端使用網域名稱系統 (DNS) SRV 記錄在一個網域中找不到網域控制站,他們嘗試解析 _ldap._tcp.dc._msdcs SRV 記錄。Windows 2000 網域控制站也發佈 _kerberos 和 _kpasswd 服務的 SRV 記錄。清單的已發佈的 SRV 記錄可以在下列檔案中的網域控制站上找到:
%Windir%\System32\Config\Netlogon.dns

問題

Windows 2000 支援一般的安全性服務應用程式發展介面 (GSSAPI) (RFC-2743) ??

答案

Microsoft 支援 「 安全性支援提供者介面 (SSPI) 這是語意上類似於 [GSSAPI 但錯誤的語法不同。如需有關 SSPI 的詳細資訊,請參閱 Microsoft Windows 平台 SDK。使用由 Kerberos 「 安全性支援提供者 (SSP) 通訊協定是使用 GSSAPI Kerberos5 機制,在下列 RFC 中定義的一樣:
http://www.ietf.org/rfc/rfc1964.txt?number=1964

問題

Windows 2000 支援 Krb5 應用程式發展介面 (API) s 嗎?

答案

[否]。只有 Windows 2000 支援是透過 [SSPI 的 Kerberos 介面] 和 [Windows 平台 SDK 中記錄 [LsaCallAuthenticationPackage() 票證介面]。SSPI 介面相當於 Kerberos GSSAPI 和產生的應用程式使用 GSSAPI/kerberos5 mechtype (RFC-1964) 在線上。LsaCallAuthentication 封裝介面提供機制,以從 Kerberos 票證快取擷取的票證。

問題

何種副檔名 Microsoft 做 Kerberos?

答案

Microsoft 已經實作 IETF 網際網路草稿為發行下列副檔名:

Kerberos 設定密碼 protocol:
http://www.ietf.org/rfc/rfc3244.txt

問題

什麼是 Kerberos 票證授權資料中?

答案

在 Kerberos 票證授權資料的目的是由下列 RFC 作者來實作廠商專屬的授權資料中:
http://www.ietf.org/rfc/rfc1510.txt?number=1510
Windows 2000 會使用這個欄位來保留其分散式的安全性機制的特定資料。Windows 2000 Server 分散式系統指南頁面 667 669] 所述。有關 [授權] 欄位的預定用法位於下列 RFC:
http://www.ietf.org/rfc/rfc1510.txt?number=1510

問題

Windows 2000 不會如何保留系統時鐘同步處理?

答案

Windows 2000 用戶端使用下列版本的簡易網路時間通訊協定 (SNTP):
http://www.ietf.org/rfc/rfc1769.txt?number=1769
時間同步處理會使用國際時間協調 (UTC) 也就是獨立的時區。電腦依照牽涉到站台、 網域、 PDC FSMO 和可靠的時間伺服器的複雜演算法決定其時間來源。時間服務會控制使用 net time 命令。加入網域的動作來啟用 Windows 2000 Time 服務,以便在開機時自動啟動。當通訊 Windows 2000 電腦時間的封包會受到保護與帶正負號的雜湊的時間資訊。 安全性根據 Windows NT 安全通道,且簽章金鑰由用戶端的電腦帳戶。

問題

Windows 2000 支援何種加密類型?

答案

Windows 2000 支援下列的加密類型:

rc4 hmac

DES CBC crc

DES CBC md5

Kerberos 加密金鑰長度:
摺疊此表格展開此表格
驗證簽章隱私權
rc4 hmac12812856 (128 以高的加密工具安裝
DES CBC crc565656
DES CBC md5565656

問題

如何找出我有什麼 Kerberos 票證?

答案

Kerberos 票證由 「 LSA 維持票證快取中,且當使用者登出時,快取終結。具有存取該票證的使用者只登入快取中。資源工具箱 」 公用程式 Klist.exe 或 Kerbtray.exe 來檢查快取中的票證。

問題

Windows 2000 支援 pkinit 嗎?

答案

Windows 2000 Kerberos 提供 Pkinit 草稿版本 9 的實作。在 Windows 2000 Pkinit 的特定使用限制為支援智慧卡登入。Pkinit 尚未經過測試與其他實作 Windows 2000 發行以來。

問題

預設票證存留時間有哪些?

答案

預設票證存留時間是在網域層級由使用網域原則所控制。預設值是:
  • MaxServiceTicketAge: 10 小時
  • MaxTicketAge: 10 小時
  • MaxRenewAge: 7 天
  • MaxClockSkew: 5 分鐘

問題

強制登入限制 是什麼意思?

答案

沒有名為 強制登入限制 在 Kerberos 原則的設定。啟用此設定每次使用者使用票證-授與的票證 (TGT) 來要求票證帳戶會檢查以查看是否仍然有效。會防止已停用的帳戶取得新的工作階段票證。

問題

如何使用委派?

答案

委派允許服務來做為具有該使用者存取網路資源的使用者。這需要用戶端,讓它可以從一個 KDC 要求票證的使用者轉寄至服務的使用者的 TGT。 因為服務能夠做為使用者,很重要服務受到信任,給予 TGT.Windows 2000 有可以限制時提供使用者的 TGT 服務要求委派時的控制項之前。

Kerberos 修訂網際網路草稿指定一個新的票證標幟-"確定一委派]。Windows 2000 KDC 設定這個旗標中的 受信任可以委派 帳戶控制項標幟設定服務票證。如果服務票證 [確定] 以委派 旗標集然後將 [SSPI 轉寄到服務的使用者的 TGT 如果 SSPI 程式要求委派。如果不設定票證旗標,忽略 SSPI 委派旗標,並不轉寄 TGT。

如果您執行不會設定票證旗標的 KDC,您可以設定 [RealmFlags 在外部領域信任可以委派領域的登錄設定。將 RealmFlags 旗標設定為 4 的值即可啟用這項功能。

如需 RealmFlags 登錄設定的額外資訊,請參閱 Windows 2000 登錄參考 (Regentry.chm) 包含在 Windows 2000 資源工具箱 」。

問題

Windows 2000 支援 SPNEGO (RFC-2478) 嗎?

答案

沒錯。交涉 SSP 實作 SPNEGO。交涉 SSP 是常見大多數程式在 Windows 2000 中使用的預設封裝。

問題

Telnet 及檔案傳輸通訊協定 (FTP) 用戶端都會在 Windows 2000 Kerberized 嗎?

答案

Telnet 及 FTP 服務在 Windows 2000 中的不要使用 Kerberos 驗證。

在本文所討論的協力廠商產品是由 Microsoft 以外的公司所製造的。Microsoft 可讓不以暗示或其他方式,效能或可靠性這些產品的保證。

屬性

文章編號: 266080 - 上次校閱: 2007年2月28日 - 版次: 7.5
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbmt kb3rdparty kbfaq kbinfo kbkerberos KB266080 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:266080
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com