Impostazioni di criteri di gruppo di Windows Server 2008 per l'interoperabilitÓ con le aree di autenticazione Kerberos non Microsoft

Traduzione articoli Traduzione articoli
Identificativo articolo: 947706 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

Microsoft offre funzionalitÓ di interoperabilitÓ in Windows Server 2008 e Windows Vista Service Pack 1 (SP1) che consentono a questi computer utilizzare implementazioni non Microsoft del protocollo Kerberos per l'autenticazione. Per abilitare questa configurazione, Ŕ necessario modificare alcune impostazioni sul computer che verranno aggiunti all'area di autenticazione Kerberos non Microsoft. In Windows Server 2008, gli amministratori possono distribuire le impostazioni di configurazione a pi¨ computer tramite criteri di gruppo. In questo articolo vengono illustrate le impostazioni di criteri di gruppo che sono stati aggiunti per supportare l'interoperabilitÓ con implementazioni di Kerberos non Microsoft in Windows Server 2008 e Windows Vista SP1.

Informazioni

Nel seguente percorso nella Console Gestione criteri di gruppo sono presenti le seguenti impostazioni:
Computer Configuration\Administrative Templates\System\Kerberos

Criterio: Definire mapping nome-Kerberos realm host

Questa impostazione consente di specificare i nomi host DNS e i suffissi DNS associati a un'area di autenticazione Kerberos.

Se si attiva questa impostazione, Ŕ possibile visualizzare e modificare l'elenco di nomi host DNS e suffissi DNS associati a un'area di autenticazione Kerberos, come definito dai criteri di gruppo.

Se si disattiva questa impostazione, l'elenco di mapping nome-Kerberos realm di host che definisce i criteri di gruppo viene eliminato.

Se non si configura questa impostazione, il sistema utilizza i mapping di area di autenticazione nome-Kerberos host sono definiti nel Registro di sistema locale, se esiste il mapping dell'area di autenticazione.

Per visualizzare l'elenco dei mapping, abilitare l'impostazione del criterio e quindi fare clic su Mostra.

Per aggiungere un mapping, attenersi alla seguente procedura:
  1. Attivare l'impostazione.
  2. Si noti la sintassi e quindi fare clic su Mostra.
  3. Fare clic su Aggiungi, quindi immettere un nome area autenticazione, l'elenco di nomi host DNS e i suffissi DNS utilizzando la sintassi annotato nel passaggio 2.
Per rimuovere un mapping, fare clic sulla voce di mapping e quindi fare clic su Rimuovere.

Per modificare un mapping, rimuovere la voce corrente dall'elenco e quindi aggiungere un nuovo mapping con parametri diversi.

Criterio: Definire impostazioni di autenticazione interoperabile Kerberos versione 5

Questa impostazione configura il client Kerberos in modo che il client pu˛ autenticare con Kerberos interoperabili aree di autenticazione versione 5, come definito da tale impostazione.

Se si attiva questa impostazione, Ŕ possibile visualizzare e modificare l'elenco delle aree di interoperabile Kerberos versione 5 e le relative impostazioni.

Se si disattiva questa impostazione, vengono eliminate le interoperabili Kerberos versione 5 realm impostazioni che definisce i criteri di gruppo.

Se non si configura questa impostazione, il sistema utilizza l'interoperabili Kerberos versione 5 dell'area di autenticazione che le impostazioni definite nel Registro di sistema locale, se esistono le impostazioni dell'area di autenticazione.

Per visualizzare l'elenco delle aree di interoperabile Kerberos versione 5, abilitare l'impostazione del criterio e quindi fare clic su Mostra.

Per aggiungere un'area di autenticazione Kerberos versione 5 interoperabile, attenersi alla seguente procedura:
  1. Attivare l'impostazione.
  2. Si noti la sintassi e quindi fare clic su Mostra.
  3. Fare clic su Aggiungi, immettere il nome interoperabile di Kerberos versione 5 dell'area nel Nome valore casella e quindi digitare la definizione delle impostazioni di Valore casella. Utilizzare la sintassi annotato nel passaggio 2.
Per rimuovere un'area di autenticazione Kerberos versione 5 interoperabile, fare clic sulla voce di Kerberos versione 5 e quindi fare clic su Rimuovere.

Per modificare un mapping, rimuovere la voce corrente dall'elenco e quindi aggiungere un nuovo mapping con parametri diversi.

Criterio: Richiedono rigorosa convalida KDC

Questa impostazione controlla il comportamento del client Kerberos quando il client convalida il certificato Centro distribuzione chiavi (KDC).

Se si attiva questa impostazione:
  • Il client Kerberos richiede che il certificato x. 509 del KDC contiene l'identificatore di oggetto chiave KDC nelle estensioni Extended Key Usage (EKU).
  • Il client Kerberos richiede che il certificato x. 509 del KDC contiene un'estensione di subjectAltName (SAN) di NomeDNS che corrisponde al nome DNS del dominio.
  • Se il computer appartiene a un dominio, il client Kerberos richiede che il certificato x. 509 del KDC deve essere firmato da un'autoritÓ di certificazione nell'archivio NTAUTH.
  • Se il computer non fa parte di un dominio, il client Kerberos consente l'autoritÓ di certificazione radice nella smart card da utilizzare nella convalida del percorso del certificato x. 509 del KDC.
Se si disattiva o non si configura questa impostazione, il client Kerberos richiede solo che il certificato KDC contiene l'identificatore di oggetto scopo Autenticazione Server nelle estensioni EKU.

Riferimenti

Per ulteriori informazioni sull'interoperabilitÓ di Kerberos 5, visitare il seguente sito Web Microsoft TechNet:
http://technet.microsoft.com/en-us/library/bb742433.aspx

ProprietÓ

Identificativo articolo: 947706 - Ultima modifica: lunedý 17 settembre 2012 - Revisione: 3.0
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Standard
Chiavi:á
kbinfo kbPubTypeKC kbhowto kbmt KB947706 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 947706
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com