Configuración de directiva de grupo de 2008 de Windows Server para la interoperabilidad con territorios Kerberos que no sean de Microsoft

Seleccione idioma Seleccione idioma
Id. de artículo: 947706 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Microsoft proporciona características de interoperabilidad en Windows Server 2008 y Windows Vista Service Pack 1 (SP1) que permiten estos equipos se utilizan implementaciones de que no sean de Microsoft del protocolo Kerberos para la autenticación. Para habilitar esta configuración, se deben modificar algunas configuraciones en equipos que se puede unir al territorio Kerberos que no sean de Microsoft. En Windows Server 2008, los administradores pueden implementar estas opciones de configuración en varios equipos a través de la directiva de grupo. En este artículo describe la configuración de directiva de grupo que se agregaron para admitir interoperabilidad con implementaciones de Kerberos que no sean de Microsoft en Windows Server 2008 y en Windows Vista SP1.

Más información

La siguiente configuración se encuentra en la siguiente ubicación en la consola de administración de directivas de grupo:
Templates\System\Kerberos de configuración de equipo

Directiva: Definir asignaciones de nombre-al dominio Kerberos de host

Esta configuración de directiva le permite especificar los nombres de host DNS y los sufijos DNS que se asignan a un territorio Kerberos.

Si habilita a esta configuración de directiva, puede ver y cambiar la lista de nombres de host DNS y sufijos DNS que se asignan a un territorio Kerberos definida por la directiva de grupo.

Si deshabilita esta directiva, se eliminará la lista de asignaciones nombre-al dominio Kerberos de host que define la directiva de grupo.

Si no configura esta directiva, el sistema utiliza las asignaciones de nombre-al dominio Kerberos de host que se definen en el registro local, si existen las asignaciones de territorio.

Para ver la lista de asignaciones, habilita a la configuración de directiva y, a continuación, haga clic en Mostrar .

Para agregar una asignación, siga estos pasos:
  1. Habilita a la opción de directiva.
  2. Anote la sintaxis y a continuación, haga clic en Mostrar .
  3. Haga clic en Agregar y, a continuación, escriba un nombre de territorio, la lista de nombres de host DNS y los sufijos DNS mediante la sintaxis que anotó en el paso 2.
Para quitar una asignación, haga clic en la entrada de asignación y, a continuación, haga clic en Quitar .

Para modificar una asignación, quite la entrada actual de la lista y, a continuación, agregar una nueva asignación que tiene parámetros diferentes.

Directiva: Definir Kerberos versión 5 configuración interoperables

Esta configuración de directiva configura al cliente Kerberos de modo que el cliente puede autenticar con interoperabilidad de Kerberos versión 5 territorios, según esta configuración de directiva.

Si habilita a esta configuración de directiva, puede ver y cambiar la lista de territorios de interoperabilidad Kerberos versión 5 y su configuración.

Si deshabilita esta directiva, se elimina el Kerberos versión 5 configuración interoperables que define la directiva de grupo.

Si no configura esta directiva, el sistema utiliza la configuración interoperable de territorio 5 de versión de Kerberos que se define en el registro local, si existe la configuración de territorio.

Para ver la lista de territorios de interoperabilidad Kerberos versión 5, habilita a la configuración de directiva y, a continuación, haga clic en Mostrar .

Para agregar un territorio de la versión 5 de Kerberos interoperable, siga estos pasos:
  1. Habilita a la opción de directiva.
  2. Anote la sintaxis y a continuación, haga clic en Mostrar .
  3. Haga clic en Agregar , escriba el nombre de territorio 5 de versión de Kerberos interoperable en el cuadro Nombre de valor y, a continuación, escriba la definición de configuración en el cuadro valor . Utilice la sintaxis que anotó en el paso 2.
Para quitar un territorio de la versión 5 de Kerberos interoperable, haga clic en la entrada de la versión 5 de Kerberos y, a continuación, haga clic en Quitar .

Para modificar una asignación, quite la entrada actual de la lista y, a continuación, agregar una nueva asignación que tiene parámetros diferentes.

Directiva: Requerir validación KDC estricta

Esta configuración de directiva controla el comportamiento del cliente de Kerberos cuando el cliente valida el certificado de centro de distribución de claves (KDC).

Si habilita a esta configuración de directiva:
  • El cliente de Kerberos requiere que certificado X.509 del KDC contiene el identificador de objeto KDC propósito clave en las extensiones de uso de clave extendida (EKU).
  • El cliente Kerberos requiere que el certificado X.509 del KDC contenga una extensión de dNSName subjectAltName (SAN) que coincida con el nombre DNS del dominio.
  • Si el equipo está unido a un dominio, el cliente de Kerberos requiere que debe estar firmado X.509 certificado del KDC por una entidad emisora de certificados en el almacén NTAUTH.
  • Si el equipo no está unido a un dominio, el cliente Kerberos permite el certificado de entidad emisora de certificados raíz de la tarjeta inteligente para utilizarse en la validación de ruta de acceso del certificado X.509 del KDC.
Si deshabilita o no la configura, el cliente Kerberos sólo requiere que el certificado KDC contiene el identificador de objeto del propósito Autenticación del servidor en las extensiones EKU.

Referencias

Para obtener más información acerca de la interoperabilidad de Kerberos 5, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/bb742433.aspx

Propiedades

Id. de artículo: 947706 - Última revisión: sábado, 08 de marzo de 2008 - Versión: 1.0
La información de este artículo se refiere a:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
Palabras clave: 
kbmt kbinfo kbpubtypekc kbhowto KB947706 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 947706

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com