Проектирование доменов и развертывание Active Directory


Интегрированная аутентификация Kerberos - часть 2


Клиенты и серверы используют протокол Kerberos для взаимной аутентификации. Запрос Kerberos содержит билет сеанса и аутентификатор, получаемый в KDC и позволяющий исключить возможность подмены билета сеанса. Поставщик безопасности Kerberos на стороне клиента интегрируется с локальным администратором безопасности), поддерживающим локальный кэш билетов. При инициализации клиентом контекста безопасности, поставщик безопасности Kerberos считывает билет сеанса, соответствующий целевой службе, или запрашивает новый билет сеанса в KDC. Сообщение запроса Kerberos, созданного поставщиком безопасности Kerberos, соответствует форматам маркера механизма GSS KerbS, описанным в RFC 1964. Клиенты могут аутентифицироваться для любой службы домена или доверенного владения, поддерживающего механизм GSS. Поставщик безопасности Kerberos может воспринять запрос Kerberos, который сгенерирован любым клиентом, поддерживающим форматы маркера в стандарте GSS, RFC 1964.

Такой уровень взаимодействия позволяет осуществлять поддержку традиционной аутентификации Kerberos, основанной на именах, в многоплатформных средах. Для имперсонализации и управления доступом в рамках модели распределенной безопасности Windows 2000 службам Windows 2000 достаточно данных авторизации, находящихся в билете сеанса.

 







Начало  Назад  Вперед



Книжный магазин