Beantwortet Fragen zu häufig gestelltem Kerberos

Zusammenfassung

Dieser Artikel beantwortet häufig gestellte Fragen zu Microsoft Windows 2000-Implementierung des Kerberos V5-Authentifizierungsprotokoll.

Weitere Informationen

Frage

Ist Windows 2000 Kerberos-Implementierung mit anderen Kerberos-Implementationen?

Antwort

Windows 2000-Implementierung von Kerberos wurde auf folgende RFCs entwickelt:

Kerberos

http://www.ietf.org/rfc/rfc1510.txt?number=1510

GSSAPI Kerberos V5-Mechanismus

http://www.ietf.org/rfc/rfc1964.txt?number=1964

Mit MIT Kerberos anzugeben, Version 1.0.5, 1.0.6 und 1.1.1 Interoperabilität für Szenarien vorhanden, die im folgenden Whitepaper Windows 2000 Kerberos-Interoperabilität beschrieben werden:Interoperabilitätstests aufgetreten auch mit Heimdal, CyberSafe, IBM und Sun.

Microsoft Windows 2000 Kerberos-Implementierung entspricht den folgenden RFCs sind:Microsoft Windows 2000-Implementierung des Kerberos V5 enthält keine Unterstützung für Kerberos V4.

Frage

Wie wird einrichten eine bereichsübergreifende Vertrauensstellung mit einer Windows 2000-Domäne?

Antwort

Die Schritte gemäß der Anleitung zu Kerberos 5 (krb5 1.0) Interoperability:

Frage

Unterstützt Windows 2000 Kadmin?

Antwort

Nein, unterstützt Windows 2000 Lightweight Directory Access Protocol (LDAP) für die Verwaltung.

Frage

Welches Kennwort ändern Protokoll unterstützt Windows 2000 Kerberos-Clients?

Antwort

Windows 2000 implementiert das Protokoll Kerberos-Kennwort ändern, wie im Internetentwurf draft-ietf-cat-kerb-chg-password-02.txt beschrieben. Dieses Protokoll wird auch in MIT krb5-1.1.1 implementiert.

Hinweis Eine Kopie der genannten Internetentwurf finden im Beispiel Dateilink am Ende dieser Webseitenlink.

Frage

Wie findet Windows 2000 Key Distribution Center (KDCs)?

Antwort

Windows 2000-Clients verwenden Sie zum Suchen nach Domänencontrollern in einer Domäne (DNS = Domain Name System) SRV-Einträge und sie _ldap._tcp.DC SRV-Einträge auflösen. Windows 2000-Domänencontrollern veröffentlichen auch SRV-Einträge für _kerberos und _kpasswd. Die Liste der veröffentlichten SRV-Einträge finden auf einem Domänencontroller in der folgenden Datei:
%Windir%\System32\Config\Netlogon.dns

Frage

Unterstützt Windows 2000 Allgemein Security Service Application Programming Interface (GSSAPI) (RFC 2743)?

Antwort

Microsoft unterstützt die Anbieter Schnittstelle SSPI (Security Support) die GSSAPI semantisch ähnlich, aber syntaktisch unterschiedliche. Weitere Informationen über SSPI finden Sie im Microsoft Windows Platform SDK. Das Protokoll von Kerberos Security Support Provider (SSP) ist dasselbe wie in der folgenden RFC definierten GSSAPI Kerberos5 Mechanismus:

Frage

Unterstützt Windows 2000 s krb5-Application Programming Interfaces (API)?

Antwort

Nein Der einzigen Kerberos Schnittstellen unterstützt Windows 2000 durch die SSPI und LsaCallAuthenticationPackage() Ticket Schnittstellen im Windows Plattform-SDK dokumentiert. SSPI-Schnittstellen sind Kerberos GSSAPI entspricht und eine Anwendung, die bei der Übertragung GSSAPI-kerberos5-Mechtype (RFC 1964) verwendet. LsaCallAuthentication paketschnittstellen bieten einen Mechanismus zum Abrufen von Tickets aus der Kerberos-Ticket-Cache.

Frage

Welche Erweiterungen machen Microsoft Kerberos?

Antwort

Microsoft hat die folgenden Erweiterungen implementiert als IETF Internet Drafts veröffentlicht:

Protokoll Kerberos-Kennwort festlegen:

Frage

Was ist Kerberos-Ticket sind?

Antwort

Die Autorisierungsdaten des Kerberos-Tickets von den folgenden RFC-Autoren soll herstellerspezifische Autorisierungsdaten zu implementieren:Windows 2000 verwendet dieses Feld, um Daten für die verteilte Sicherheitsmechanismus. Dies wird in Windows 2000 Server Distributed Systems Guide Seiten 667 669 beschrieben. Informationen zum Verwendungszweck des Feldes Autorisierung befindet sich in der folgenden RFC:

Frage

Wie hält Windows 2000 Systemuhren synchronisiert?

Antwort

Windows 2000-Clients verwenden die folgende Version des Network Time Protocol SNTP (Simple):Synchronisierung verwendet koordinieren (Weltzeit) Zeitzone unabhängig ist. Ein Computer bestimmt anhand eines komplexen Algorithmus mit Sites, Domänen, PDC FSMO und zuverlässige Zeitserver der Zeitquelle. Der Zeitdienst wird mit dem Befehl net Time gesteuert. Act von einer Domäne ermöglicht Windows 2000-Zeitdienst, sodass beim Start automatisch gestartet. Bei der Kommunikation mit Windows 2000-Computern sind Zeit Pakete mit einem signierten Hash die Informationen gesichert. Sicherheit basiert auf Windows NT sicheren Kanal und Signaturschlüssel wird durch das Computerkonto des Clients bestimmt.

Frage

Unterstützt welche Verschlüsselung Windows 2000?

Antwort

Windows 2000 unterstützt die folgenden Verschlüsselungstypen:

RC4-HMAC

DES-CBC-CRC

DES-CBC-MD5

Kerberos Schlüssellängen:
AuthentifizierungAnmeldungDatenschutz
RC4-HMAC12812856 (128 mit High Encryption Pack installiert
DES-CBC-CRC565656
DES-CBC-MD5565656

Frage

Wie finde ich was Kerberos-Tickets habe?

Antwort

Die Kerberos-Tickets werden im Ticket-Cache von der LSA und Cache gelöscht, wenn sich der Benutzer abmeldet. Der angemeldete Benutzer hat Zugriff auf die Tickets im Cache. Die Resource Kit-Dienstprogramme Klist.exe oder Kerbtray.exe können verwendet werden, Tickets im Cache zu.

Frage

Unterstützt Windows 2000 Pkinit?

Antwort

Windows 2000 Kerberos stellt eine Implementierung von Pkinit-Entwurf 9. Verwendungszweck Pkinit in Windows 2000 ist für die Unterstützung der SmartCard-Anmeldung beschränkt. PKINIT wurde seit der Veröffentlichung von Windows 2000 nicht mit anderen Implementierungen getestet.

Frage

Was sind Standard-Ticket-Lebensdauer?

Antwort

Standard-Ticket-Lebensdauer werden auf Domänenebene mit Domänenrichtlinien gesteuert. Die Standardeinstellungen sind:
  • MaxServiceTicketAge: 10 Stunden
  • MaxTicketAge: 10 Stunden
  • MaxRenewAge: 7 Tage
  • MaxClockSkew: 5 Minuten

Frage

Was bedeutet Anmeldung Einschränkungen erzwingen ?

Antwort

Es ist eine Einstellung für die Kerberos-Richtlinie Erzwingen Anmeldung beschränkt. Diese Einstellung aktiviert ist, jedes Mal ein Benutzer ein Ticket-granting-Ticket (TGT) auf Anforderung ist ein Ticket, das Konto überprüft, ob noch gültig ist. Ein deaktiviertes Konto verhindert, die neue Sitzungstickets erhalten.

Frage

Verwendung Delegierung

Antwort

Delegierung ermöglicht einen Dienst als Benutzer mit Zugriff auf Netzwerkressourcen des Benutzers handeln. Dies muss den Client TGT eines Benutzers mit dem Dienst weiterleiten, sodass Tickets von einem KDC im Namen des Benutzers anfordern können. Da der Dienst als Benutzer agieren kann, ist wichtig, dass der Dienst vertrauenswürdig sein, bevor geben Ihre TGT Windows 2000 Steuerelemente enthält, die beim Dienst TGT eines Benutzers stellt Aufforderung Delegierung einschränken können.

Die Kerberos-Versionen Internetentwurf gibt ein neues Ticket Kennzeichen - "OK, wie delegieren. Windows 2000 KDC wird dieses Flag in servicetickets, die die
Für Delegierungszwecke vertraut Konto Steuerelement muss festgelegt sein. Wenn das Dienstticket OK delegierter Flag festgelegt ist, leitet die SSPI TGT des Benutzers mit dem Dienst, SSPI-Programm Delegierung angefordert. Wenn das Ticket-Flag nicht festgelegt ist, SSPI Delegierung Flag ignoriert und das TGT nicht weitergeleitet.

Wenn Sie mit einem KDC ausführen, die Ticket-Flag nicht festgelegt ist, können Sie die RealmFlags in der Registrierungskonfiguration für externen Bereich Bereich für die Delegierung als vertrauenswürdig festlegen. Das RealmFlags-Flag auf den Wert 4 festlegen, wird dieses Feature aktiviert.

Weitere Informationen zum Registrierungseintrag RealmFlags finden Sie unter Windows 2000 Registry Reference ("regentry.chm") im Windows 2000 Resource Kit enthalten.

Frage

Unterstützt Windows 2000 SPNEGO (RFC 2478)?

Antwort

Ja. Der Aushandlungs-SSP implementiert SPNEGO. Der Aushandlungs-SSP ist das allgemeine standardmäßig die meisten Programme in Windows 2000 verwenden.

Frage

Sind Telnet und File Transfer Protocol (FTP)-Clients in Windows 2000 kerberisiert

Antwort

Telnet und FTP-Dienste in Windows 2000 verwenden Kerberos nicht zur Authentifizierung.

Die in diesem Artikel erörterten Produkte von Drittanbietern werden von Unternehmen hergestellt, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in die Leistung oder Zuverlässigkeit dieser Produkte.
Eigenschaften

Artikelnummer: 266080 – Letzte Überarbeitung: 09.01.2017 – Revision: 1

Feedback