Impostazioni di criteri di gruppo di Windows Server 2008 per l'interoperabilità con le aree di autenticazione Kerberos non Microsoft

INTRODUZIONE

Microsoft offre funzionalità di interoperabilità in Windows Server 2008 e in Windows Vista Service Pack 1 (SP1) che consentono a questi computer utilizzare le implementazioni non Microsoft del protocollo Kerberos per l'autenticazione. Per abilitare questa configurazione, è necessario modificare alcune impostazioni sul computer che verranno aggiunti all'area di autenticazione Kerberos non Microsoft. In Windows Server 2008, gli amministratori possono distribuire le impostazioni di configurazione a più computer tramite criteri di gruppo. In questo articolo vengono illustrate le impostazioni di criteri di gruppo che sono stati aggiunti per supportare l'interoperabilità con implementazioni di Kerberos non Microsoft Windows Server 2008 e Windows Vista SP1.

Ulteriori informazioni

Le seguenti impostazioni si trovano nel seguente percorso nella Console Gestione criteri di gruppo:
Computer Configuration\Administrative Templates\System\Kerberos

Criterio: Definire i mapping di area di autenticazione Kerberos-nome-a host

Questa impostazione di criterio consente di specificare i nomi host DNS e i suffissi DNS associati a un'area di autenticazione Kerberos.

Se si attiva questa impostazione, è possibile visualizzare e modificare l'elenco di nomi host DNS e i suffissi DNS associati a un'area di autenticazione Kerberos, come definito dai criteri di gruppo.

Se si disattiva questa impostazione, viene eliminato l'elenco di mapping di area di autenticazione Kerberos-nome-all'host che definisce i criteri di gruppo.


Se non si configura questa impostazione, il sistema utilizza i mapping di area di autenticazione Kerberos-nome-a host che sono definiti nel Registro di sistema locale, se esiste il mapping dell'area di autenticazione.


Per visualizzare l'elenco dei mapping, attivare l'impostazione del criterio e quindi fare clic su Mostra.

Per aggiungere un mapping, attenersi alla seguente procedura:
  1. Attivare l'impostazione di criterio.
  2. Si noti la sintassi e quindi fare clic su Mostra.
  3. Fare clic su Aggiungie quindi immettere un nome area autenticazione, l'elenco di nomi host DNS e i suffissi DNS utilizzando la sintassi che si è preso nota al passaggio 2.
Per rimuovere un mapping, fare clic sulla voce di mapping e quindi fare clic su Rimuovi.

Per modificare un mapping, rimuovere la voce corrente dall'elenco e quindi aggiungere un nuovo mapping di parametri diversi.

Criterio: Definire le impostazioni dell'area di autenticazione di interoperabili Kerberos versione 5

Questa impostazione di criterio consente di configurare il client Kerberos in modo che il client può autenticare con Kerberos interoperabili aree versione 5, come definito da questa impostazione di criterio.


Se si attiva questa impostazione, è possibile visualizzare e modificare l'elenco delle aree di interoperabilità Kerberos versione 5 e le relative impostazioni.



Se si disattiva questa impostazione, vengono eliminate le interoperabili impostazioni di Kerberos versione 5 dell'area di autenticazione che definisce i criteri di gruppo.


Se non si configura questa impostazione, il sistema utilizza l'interoperabili Kerberos versione 5 area le impostazioni definite nel Registro di sistema locale, se sono disponibili le impostazioni dell'area di autenticazione.


Per visualizzare l'elenco delle aree di interoperabilità Kerberos versione 5, attivare l'impostazione del criterio e quindi fare clic su Mostra.

Per aggiungere un'interoperabilità Kerberos versione 5, attenersi alla seguente procedura:
  1. Attivare l'impostazione di criterio.
  2. Si noti la sintassi e quindi fare clic su Mostra.
  3. Fare clic su Aggiungie immettere l'interoperabilità Kerberos versione 5 nome nella casella Nome valore digitare la definizione delle impostazioni nella casella valore . Utilizzare la sintassi che si è preso nota al passaggio 2.
Per rimuovere un'interoperabilità Kerberos versione 5, fare clic sulla voce di Kerberos versione 5 e quindi fare clic su Rimuovi.

Per modificare un mapping, rimuovere la voce corrente dall'elenco e quindi aggiungere un nuovo mapping di parametri diversi.

Criterio: Richiedono rigorosa convalida KDC

Questa impostazione controlla il comportamento del client Kerberos quando il client convalida il certificato Centro distribuzione chiavi (KDC).

Se si attiva questa impostazione di criterio:
  • Il client Kerberos richiede che x. 509 del KDC contiene l'identificatore di oggetto chiave KDC nelle estensioni di Extended Key Usage (EKU).
  • Il client Kerberos richiede che x. 509 del KDC contiene un'estensione subjectAltName (SAN) dNSName che corrisponde al nome DNS del dominio.
  • Se il computer fa parte di un dominio, il client Kerberos richiede che del KDC x. 509 deve essere firmato da un'autorità di certificazione nell'archivio NTAUTH.
  • Se il computer non fa parte di un dominio, il client Kerberos consente il certificato dell'autorità di certificazione radice nella smart card da utilizzare per la convalida del percorso del certificato x. 509 del KDC.
Se si disattiva o non si configura questa impostazione, il client Kerberos richiede solo che il certificato KDC contiene l'identificatore di oggetto scopo Autenticazione Server nelle estensioni EKU.

Riferimenti

Per ulteriori informazioni sull'interoperabilità di Kerberos 5, visitare il seguente sito Web Microsoft TechNet:
Proprietà

ID articolo: 947706 - Ultima revisione: 31 gen 2017 - Revisione: 1

Feedback