Câu trả lời cho câu hỏi thường gặp Kerberos

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:266080
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này trả lời các câu hỏi thường gặp về các Thực hiện Microsoft Windows 2000 Kerberos V5 xác thực giao thức.
THÔNG TIN THÊM

Câu hỏi

Là việc thực hiện Windows 2000 Kerberos tương thích với việc triển khai Kerberos khác?

Câu trả lời

Việc thực hiện Windows 2000 Kerberos được phát triển dựa trên vào các RFCs sau đây:

Kerberos

http://www.IETF.org/RFC/rfc1510.txt?number=1510

Cơ chế Kerberos V5 GSSAPI

http://www.IETF.org/RFC/rfc1964.txt?number=1964

Phiên bản 1.0.5, 1.0.6 và 1.1.1 thử nghiệm với MIT Kerberos chỉ ra rằng khả năng tương tác tồn tại đối với một số kịch bản được mô tả trong các sau Windows 2000 Kerberos Interoperability whitepaper: Kiểm tra khả năng tương tác cũng xảy ra với Heimdal, CyberSafe, IBM và mặt trời hiện thực.

Microsoft Windows 2000 Kerberos khai là tuân thủ với các RFCs sau đây: Việc thực hiện Microsoft Windows 2000 Kerberos V5 không chứa hỗ trợ cho Kerberos V4.

Câu hỏi

Làm thế nào để thiết lập sự tin tưởng qua lĩnh vực để một tên miền Windows 2000?

Câu trả lời

Các bước được nêu trong các hướng dẫn từng bước để Kerberos 5 (krb5 1.0) Khả năng tương tác:

Câu hỏi

Windows 2000 có hỗ trợ Kadmin?

Câu trả lời

Không, Windows 2000 hỗ trợ Lightweight Directory Access Protocol (LDAP) cho tài khoản quản trị.

Câu hỏi

Điều gì mật khẩu thay đổi giao thức Windows 2000 hiện hỗ trợ cho Kerberos khách hàng?

Câu trả lời

Windows 2000 thực hiện giao thức Kerberos Change Password như mô tả trong dự thảo Internet draft-ietf-cat-kerb-chg-password-02.txt. Điều này giao thức cũng được thực hiện tại MIT krb5-1.1.1.

Chú ý Một bản sao của dự thảo Internet được tham chiếu ở trên có thể được tìm thấy trong các mẫu tập tin liên kết ở dưới cùng của liên kết trang Web này.

Câu hỏi

Windows 2000 định vị trung tâm phân phối khóa (KDCs) như thế nào?

Câu trả lời

Windows 2000 khách hàng sử dụng hệ thống tên miền (DNS) SRV records xác định vị trí bộ kiểm soát miền trong một tên miền, và họ tìm cách giải quyết các bản ghi SRV _ldap._tcp.DC._msdcs. Bộ kiểm soát miền Windows 2000 cũng xuất bản Bản ghi SRV cho dịch vụ _kerberos và _kpasswd. Danh sách được xuất bản SRV hồ sơ có thể được tìm thấy trên bộ điều khiển tên miền trong tệp sau:
%Windir%\System32\Config\Netlogon.DNS

Câu hỏi

Windows 2000 hỗ trợ ứng dụng dịch vụ bảo mật chung Lập trình giao diện (GSSAPI))RFC-2743)?

Câu trả lời

Microsoft hỗ trợ giao diện nhà cung cấp hỗ trợ an ninh (SSPI) đó là ngữ nghĩa tương tự như GSSAPI, nhưng cú pháp khác nhau. Cho thông tin thêm về SSPI, xem Microsoft Windows Platform SDK. Các giao thức được sử dụng bởi Kerberos Security hỗ trợ nhà cung cấp (SSP) là giống như được sử dụng bởi cơ chế GSSAPI Kerberos5 được định nghĩa trong RFC sau đây:

Câu hỏi

Windows 2000 hỗ trợ giao diện lập trình Krb5 ứng dụng (API) s?

Câu trả lời

Không. Các giao diện Kerberos duy nhất hỗ trợ Windows 2000 là thông qua SSPI và giao diện vé LsaCallAuthenticationPackage() tài liệu trong Windows Platform SDK. Giao diện SSPI là tương đương với Kerberos GSSAPI và sản xuất một ứng dụng sử dụng GSSAPI/kerberos5 mechtype)RFC-1964) ngày các dây. Giao diện gói LsaCallAuthentication cung cấp một cơ chế để Lấy vé từ bộ nhớ cache vé Kerberos.

Câu hỏi

Phần mở rộng những gì đã làm Microsoft Hãy để Kerberos?

Câu trả lời

Microsoft đã triển khai thực hiện các phần mở rộng sau đó là xuất bản như là bản thảo Internet IETF:

Kerberos Set Password protocol:

Câu hỏi

Những gì là trong dữ liệu ủy quyền vé Kerberos?

Câu trả lời

Dữ liệu ủy quyền trong vé Kerberos được dự định bởi các RFC tác giả sau đây để thực hiện uỷ quyền cụ thể nhà cung cấp dữ liệu: Windows 2000 sử dụng trường này để giữ dữ liệu cụ thể cho nó cơ chế bảo mật được phân phối. Điều này được mô tả trong Windows 2000 Server Các trang hướng dẫn hệ thống phân phối 667-669. Thông tin về sử dụng dự định của các lĩnh vực ủy quyền này tọa lạc ở RFC sau đây:

Câu hỏi

Làm thế nào Windows 2000 giữ hệ thống đồng hồ được đồng bộ?

Câu trả lời

Windows 2000 khách hàng sử dụng phiên bản sau của mạng đơn giản Thời gian giao thức (SNTP): Đồng bộ hóa thời gian dùng giờ phối hợp (UTC) mà là múi giờ độc lập. Một máy tính sẽ xác định nguồn của nó thời gian bằng cách làm theo một thuật toán phức tạp liên quan đến các trang web, tên miền, PDC FSMO, và thời gian đáng tin cậy Các máy chủ. Dịch vụ thời gian được điều khiển bằng cách sử dụng các net thời gianbộ chỉ huy. Các hành động trong việc tham gia một tên miền cho phép các dịch vụ thời gian Windows 2000 vì vậy là nó tự động bắt đầu lúc khởi động. Khi giao tiếp với Windows 2000 máy vi tính, thời gian các gói dữ liệu được bảo đảm với một băm có chữ ký của các thông tin thời gian. An ninh dựa trên kênh bảo mật Windows NT và chữ ký chính là xác định bởi các tài khoản máy tính của khách hàng.

Câu hỏi

Windows 2000 hỗ trợ những loại mã hóa không?

Câu trả lời

Windows 2000 hỗ trợ loại mật mã hoá sau đây:

RC4-HMAC

DES-CBC-CRC

DES-CBC-MD5

Kerberos Encryption Key Lengths:
Xác thựcViệc đăng kýTính riêng tư
RC4-HMAC12812856 (128 w / cao Mã hóa gói được cài đặt
DES-CBC-CRC565656
DES-CBC-MD5565656

Câu hỏi

Làm thế nào để tìm ra những gì vé Kerberos tôi có?

Câu trả lời

Vé Kerberos được lưu giữ trong bộ nhớ cache vé của LSA, và các bộ nhớ cache bị phá hủy khi người sử dụng bản ghi ra ngoài. Chỉ người dùng đăng nhập vào có thể truy cập các vé trong bộ nhớ cache. Tiện ích tài nguyên Kit Klist.exe hoặc Kerbtray.exe có thể được sử dụng để kiểm tra các vé trong bộ nhớ cache.

Câu hỏi

Windows 2000 có hỗ trợ Pkinit?

Câu trả lời

Windows 2000 Kerberos cung cấp một thực hiện của dự thảo Pkinit Phiên bản 9. Việc sử dụng cụ thể của Pkinit trong Windows 2000 là hạn chế đến hỗ trợ đăng nhập thẻ khôn. Pkinit đã không được thử nghiệm với nhau thi hành đầy đủ từ việc phát hành của Windows 2000.

Câu hỏi

Kiếp sống vé mặc định là gì?

Câu trả lời

Kiếp sống vé mặc định được kiểm soát ở cấp độ tên miền bằng cách sử dụng chính sách tên miền. Mặc định là:
  • MaxServiceTicketAge: 10 giờ
  • MaxTicketAge: 10 giờ
  • MaxRenewAge: 7 ngày
  • MaxClockSkew: 5 phút

Câu hỏi

Những gì không Thi hành những hạn chế đăng nhập có nghĩa là?

Câu trả lời

Đó là một thiết lập cho Kerberos các chính sách được gọi là Thi hành những hạn chế đăng nhập. Với thiết đặt này được kích hoạt, mỗi khi người dùng sử dụng một vé-cấp-vé (TGT) để yêu cầu một vé, các tài khoản được kiểm tra để xem Nếu nó vẫn còn hợp lệ. Mà sẽ ngăn chặn một tài khoản bị vô hiệu hoá được mới phiên giao dịch vé.

Câu hỏi

Tôi sử dụng các đoàn đại biểu như thế nào?

Câu trả lời

Đoàn đại biểu cho phép một dịch vụ để hành động như là người dùng với người dùng truy cập tới tài nguyên mạng. Điều này đòi hỏi các khách hàng để chuyển tiếp của người dùng TGT để các dịch vụ như vậy mà nó có thể yêu cầu vé từ một KDC trên danh nghĩa của người sử dụng. Kể từ khi dịch vụ có thể hành động như là người dùng, nó là quan trọng mà các dịch vụ được tin cậy trước khi cho nó của bạn TGT. Windows 2000 có điều khiển có thể hạn chế khi một dịch vụ cung cấp cho một người sử dụng TGT khi phái đoàn được yêu cầu.

Các phiên bản Kerberos dự thảo Internet chỉ định một lá cờ vé mới - "OK như đại biểu". Windows 2000 KDC đặt cờ này trong vé dịch vụ có các Tin cậy cho đoàn đại biểu tài khoản kiểm soát cờ được đặt. Nếu dịch vụ vé có các OK như đại biểu cờ đặt, sau đó SSPI chuyển tiếp của người dùng TGT để các dịch vụ nếu yêu cầu chương trình SSPI đoàn đại biểu. Nếu vé cờ không được thiết lập, sau đó SSPI đoàn cờ là bỏ qua và TGT không được chuyển tiếp.

Nếu bạn đang chạy với một KDC mà không đặt cờ vé, bạn có thể thiết lập các RealmFlags trong registry cấu hình cho lĩnh vực bên ngoài để tin tưởng trong lĩnh vực cho đoàn đại biểu. Thiết lập cờ RealmFlags một giá trị của 4 cho phép tính năng này.

Cho thông tin thêm về các thiết lập registry RealmFlags, xem các cửa sổ 2000 Registry Reference (Regentry.chm) được bao gồm trong Windows 2000 Resource Kit.

Câu hỏi

Windows 2000 hỗ trợ SPNEGO)RFC-2478)?

Câu trả lời

Có. SSP thương lượng thực hiện SPNEGO. SSP thương lượng là thông thường mặc định gói rằng hầu hết các chương trình sử dụng trong Windows 2000.

Câu hỏi

Telnet và File Transfer Protocol (FTP) khách hàng trong Windows 2000 Kerberized?

Câu trả lời

Các dịch vụ Telnet và FTP trong Windows 2000 không sử dụng Kerberos cho xác thực.

Các sản phẩm bên thứ ba mà thảo luận về bài viết này sản xuất bởi các công ty độc lập của Microsoft. Microsoft đưa ra không có bảo hành, ngụ ý hay cách khác, liên quan đến hiệu suất hoặc độ tin cậy của các sản phẩm này.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 266080 - Xem lại Lần cuối: 12/05/2015 20:44:45 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kb3rdparty kbFAQ kbinfo kbkerberos kbmt KB266080 KbMtvi
Phản hồi