Windows Server 2008 Zásady skupiny nastavení pro interakci s Microsoft Kerberos sfér

ÚVOD

Společnost Microsoft poskytuje funkce spolupráce v systému Windows Server 2008 a Windows Vista Service Pack 1 (SP1), které umožňují těmto počítačům používat jiných výrobců implementace protokolu Kerberos pro ověřování. Chcete-li tuto konfiguraci, musí změnit některá nastavení počítače připojené do sféry Kerberos společnosti Microsoft. V systému Windows Server 2008 správci mohou nasadit nastavení konfigurace do více počítačů pomocí Zásady skupiny. Tento článek popisuje nastavení Zásady skupiny, které byly přidány k podpoře spolupráce s implementacemi Microsoft Kerberos v systému Windows Server 2008 a Windows Vista SP1.

Další informace

Následující nastavení jsou k dispozici v následujícím umístění v konzole pro správu Zásady skupiny:
Počítač Konfigurace uživatele\Šablony pro Templates\System\Kerberos

Zásady: Definujte mapování hostitele sféry název Kerberos

Toto nastavení zásad umožňuje určit názvy hostitelů DNS a přípony DNS, které jsou mapovány na sféry protokolu Kerberos.

Pokud povolíte toto nastavení zásad, můžete zobrazit a změnit seznam názvů hostitelů DNS a přípony DNS, které jsou mapovány na sféry protokolu Kerberos definované Zásady skupiny.

Pokud toto nastavení zásady zakážete, seznam mapování hostitele sféry název Kerberos, který definuje Zásady skupiny se zrušuje.


Pokud neprovedete konfiguraci tohoto nastavení zásad, systém použije mapování hostitele sféry název Kerberos, které jsou definovány v místním registru, pokud existuje mapování sféry.


Chcete-li zobrazit seznam mapování, povolte nastavení zásad a klepněte na tlačítko Zobrazit.

Chcete-li přidat mapování, postupujte takto:
  1. Povolte nastavení zásad.
  2. Všimněte si syntaxe a potom klepněte na tlačítko Zobrazit.
  3. Klepněte na tlačítko Přidata potom zadejte název sféry, seznam názvů hostitelů DNS a přípony DNS pomocí syntaxe, kterou jste si poznamenali v kroku 2.
Chcete-li odebrat mapování, klepněte na položku mapování a potom klepněte na tlačítko Odebrat.

Chcete-li upravit mapování, odebrání aktuální položky ze seznamu a potom přidat nové mapování, která má jiné parametry.

Zásady: Definujte interoperabilní Kerberos verze 5 sféry nastavení

Toto nastavení zásad nakonfiguruje klienta Kerberos tak, aby klient může ověřit interoperabilní Kerberos verze 5 sfér, podle tohoto nastavení zásad.


Pokud povolíte toto nastavení zásad, můžete zobrazit a změnit seznam interoperabilní Kerberos verze 5 sféry a jejich nastavení.



Pokud zakážete toto nastavení zásad, budou odstraněny interoperabilní nastavení protokolu Kerberos verze 5 sféry, které definuje Zásady skupiny.


Pokud neprovedete konfiguraci tohoto nastavení zásad, systém použije interoperabilní nastavení protokolu Kerberos verze 5 sféry, které jsou definovány v místním registru, pokud existuje nastavení sféry.


Chcete-li zobrazit seznam interoperabilní Kerberos verze 5 sfér, povolte nastavení zásad a klepněte na tlačítko Zobrazit.

Chcete-li přidat sférou interoperabilní Kerberos verze 5, postupujte takto:
  1. Povolte nastavení zásad.
  2. Všimněte si syntaxe a potom klepněte na tlačítko Zobrazit.
  3. Klepněte na tlačítko Přidat, do pole Název hodnoty zadejte interoperabilní Kerberos verze 5 sféry název a do pole hodnota zadejte definici nastavení. Použijte syntaxi, kterou jste si poznamenali v kroku 2.
Chcete-li odebrat sférou interoperabilní Kerberos verze 5, klepněte na položku Protokol Kerberos verze 5 a potom klepněte na tlačítko Odebrat.

Chcete-li upravit mapování, odebrání aktuální položky ze seznamu a potom přidat nové mapování, která má jiné parametry.

Zásady: Požadovat ověření přísného KDC

Toto nastavení zásad určuje chování klienta protokolu Kerberos, když klient ověří certifikát centra distribuce klíčů (KDC).

Pokud povolíte toto nastavení zásad:
  • Klient protokolu Kerberos vyžaduje, že je služba KDC certifikát X.509 obsahuje identifikátor objektu účelu klíče KDC v rozšíření rozšířené použití klíče (EKU).
  • Klient protokolu Kerberos vyžaduje, že je služba KDC certifikát X.509 obsahuje rozšíření Název_dns subjectAltName (SAN), který odpovídá názvu DNS domény.
  • Pokud je počítač připojen k doméně, klienta protokolu Kerberos vyžaduje, aby certifikát X.509 je služba KDC musí být podepsány certifikačního úřadu v úložišti NTAuth.
  • Pokud počítač není připojen k doméně, klient Kerberos umožňuje certifikát kořenového certifikačního úřadu na kartě smart card pro ověření cesty certifikátu X.509 je služba KDC.
Pokud zakážete nebo nenakonfigurujete toto nastavení zásad protokolu Kerberos klient vyžaduje pouze, aby certifikátu KDC obsahovat identifikátor objektu účelu Ověření serveru v rozšíření EKU.

Odkazy

Další informace o protokolu Kerberos 5 interoperability naleznete na následujícím webu Microsoft TechNet společnosti:
Vlastnosti

ID článku: 947706 - Poslední kontrola: 14. 1. 2017 - Revize: 1

Váš názor