Администрирование Kerberos в Windows 2000 (эта ссылка может указывать на содержимое полностью или частично на английском языке)

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 232179
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
Аннотация
Реализация Windows 2000 протокол проверки подлинности Kerberos не требуется расширенная администрирования и конфигурации. Поскольку пакет проверки подлинности по умолчанию, он устанавливается автоматически на всех компьютерах под управлением Microsoft Windows 2000. За исключением смарт-карты Kerberos производится обычно автоматически и его настройка не требуется. Существует очень мало параметров политики, могут быть применены к Kerberos. Сетевой монитор не поддерживает встроенные синтаксического анализа и так как большинство Kerberos трафик шифруется, трассировки не очень revealing и поэтому не очень полезна. В данной статье описывается администрирование протокола Kerberos.
Дополнительная информация
Две программы включены для администрирования Kerberos: KerbTray и NetDom.

KerbTray

KerbTray используется для отображения сведений о билет для данного компьютера, использующих протокол Kerberos. Значок KerbTray находится на панели задач (в правой части панели задач) и может использоваться для просмотра и очистить кэш билетов. Чтобы использовать KerbTray, щелкните правой кнопкой мыши значок и нажмите кнопкуСписок билеты-или-Очистить билеты. При просмотре кэш билетов следующие флаги сопоставить флаги столбцов:
  • F = forwardable
  • f = пересылки
  • P = proxiable
  • p = прокси
  • D = может postdate
  • d = postdated
  • I = недопустимый
  • R = возобновляемым
  • I = начальный
  • H = проверку оборудования
  • = Pre-authenticated
  • L = OK представитель

По умолчанию флаг билета

  • Билет предоставления билета или билет TGT (первый билет перечисленных): FPRI (Forwardable Proxiable, Renewable и переменные).
  • Для билеты сеансов (во втором и третьем списке билеты): FPR (Forwardable Proxiable и Renewable).

NetDom

NetDom является средством Resource Kit для манипулирования безопасных каналов между серверами, серверами и серверами, на рабочих станциях. В Windows 2000 NetDom является средством, проверка для серверов домена и доверительные отношения. Он был изменен также позволяет сбрасывать транзитивные доверительные отношения Kerberos.

Параметры политики Kerberos

В Windows 2000 политики Kerberos определяется на уровне домена и реализуется путем домена центр распространения ключей (KDC). Политики Kerberos хранится в Active Directory как подмножество атрибутов в политике безопасности домена. По умолчанию параметры политики могут быть установлены только членами группы «Администраторы домена».

Политики Kerberos в политику домена по умолчанию и включает следующие параметры:

Применить ограничения входа пользователей

Если этот параметр включен, KDC проверяет каждый запрос билета сеанса, изучив политика прав пользователей на конечном компьютере, чтобы убедиться, что пользователь имеет право локального входа в систему или получить доступ к компьютеру из сети. Это также флажок, чтобы убедиться, что запрашивающая учетная запись действительна. Проверка является необязательным, так как дополнительный шаг требует времени и может замедлить сетевой доступ к службам. Значение по умолчанию: включен.

Максимальное время жизни, может быть обновлен билета пользователя

Это максимальный срок жизни билета (TGT или сеанса билетов, несмотря на то, что политика указывает, что это «билета пользователя»). Билет не могут быть обновлены после этого времени. Значение по умолчанию: 7 дней.

Максимальное время жизни билета службы

«Билета службы» имеет билет сеанса. Параметры, в минутах. Значение должно быть больше, чем в десять минут и меньше, чем значение параметра "Жизни билета пользователя максимум". Значение по умолчанию: 10 часов.

Максимальное отклонение для синхронизации из часы компьютера

На сервере KDC часов и часов клиент Kerberos требуется синхронизируются в течение указанного числа минут. Если часы не синхронизированы в течение указанного количества минут, клиенту не выдаются билеты. Это deterrent в атак воспроизведения. Параметры, в минутах. Значение по умолчанию: 5 минут.

Максимальное время жизни билета пользователя

«Билета пользователя» имеет билет TGT и должен быть обновлен после этого времени. Значение по умолчанию: 10 часов.

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 232179 — последний просмотр: 01/11/2015 02:52:35 — редакция: 3.0

операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbenv kbinfo kbmt KB232179 KbMtru
Отзывы и предложения
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)