Проектирование доменов и развертывание Active Directory


Интегрированная аутентификация Kerberos



 

Интегрированная аутентификация Kerberos

В Windows 2000 аутентификация Kerberos реализована на уровне доменов, что позволяет выполнять одну регистрацию в системе при доступе ко всем ресурсам сети и поддерживать модель распределенной безопасности Windows 2000. На любом участке дерева доменов Windows 2000 протокол Kerberos обеспечивает взаимную аутентификацию, ускоренную аутентификацию и транзитное доверие на аутентификацию. Аутентификация Kerberos в Windows 2000 используется для выполнения интерактивной регистрации пользователя в домене. Расширение стандартной аутентификации Kerberos для применения открытого ключа позволяет применять регистрацию в Windows 2000 с помощью смарт-карты. Протокол Kerberos реализован в виде поставщика безопасности, доступ к которому осуществляется с применением

интерфейса поддержки поставщика безопасности

(Security Support Provider Interface, SSPI).

Поставщик безопасности Kerberos используется клиентом и сервером 8MB (Server Message Block). Он также доступен для DCOM, авторизованного RPC и любого протокола, использующего SSPI для обеспечения безопасности информации, передаваемой по сети. SSPI — это интерфейс безопасности Win32, который существует в составе Windows NT, начиная с версии 3.5. Он также поддерживается в Windows 95/98. В SSPI применяются те же архитектурные концепции, что и в наборе программных вызовов

общих служб безопасности

(Generic Security Services API, GSS-API), соответствующих RFC 1964; SSPI позволяет освободить приложения от непосредственного взаимодействия с протоколами сетевой безопасности.

В Windows 2000 реализован

Центр распространения ключей Kerberos

(Kerberos Key Distribution Center, KDC). На каждом контроллере домена Windows 2000 помимо службы Active Directory имеется служба KDC, выполняющаяся вместе с Active Directory как процесс в привилегированном режиме. Оба процесса осуществляют управление жизненно важной информацией, включая пароли учетных записей пользователей. Active Directory выполняет автоматическую репликацию служебной информации на всех контроллерах домена. Поэтому создавать новые учетные записи пользователей, настраивать членство пользователей в группах или переустанавливать пароли можно на любом контроллере домена. Это означает, что в отличие от Windows NT 4.0, где изменить административную информацию можно было только на Главном контроллере домена (Primary Domain Controller, PDC) с последующим обновлением доступных только для чтения реплик на Резервных контроллерах домена (Backup Domain Controller, BDC), в Windows 2000 можно изменять любую реплику Active Directory, хранящуюся на некотором контроллере домена.




Начало  Назад  Вперед



Книжный магазин