Взаимодействие Windows 2000 КDС и UNIX
Часто возникает вопрос: как Windows 2000 будет работать с существующими серверами Kerberos, функционирующими в ОС UNIX? Windows 2000 взаимодействует с КОС, работающими на MIT Kerberos, двумя способами:
Компьютер с Windows 2000 может быть настроен на применение UNIX КОС. Пользователи могут входить в систему с помощью учетной записи, определенной в UNIX КОС, точно так же, как это делают станции UNIX, Любое приложение Windows 2000 или UNIX, требующее только аутентификации, основанной на имени, может использовать UNIX КОС в качестве сервера Kerberos. Например, сервер баз данных, имеющий собственную таблицу авторизации на доступ к базе, может аутентифицировать клиента Windows 2000 с помощью билетов Kerberos, полученных у UNIX KDC. Поскольку сервер баз данных не использует средства управления доступом Windows 2000, он может работать в среде Windows 2000 без применения имперсонализации. Для приема билетов сеанса, выдаваемых UNIX KDC, и запроса контекста безопасности для определенного имени клиента сервер вызывает поставщика безопасности Kerberos. Билеты, выданные UNIX KDC, могут быть использованы при взаимной аутентификации и защите сообщений. Однако без данных авторизации контекст безопасности не может быть использован для имперсонализации.
Windows 2000 может взаимодействовать с MIT Kerberos посредством доверия, установленного между владением UNIX и доменом Windows 2000. Это наилучший способ поддержки служб Windows 2000, использующих имперсонализацию и средства управления доступом. Доверие, установленное между владениями, очень похоже на широко применяемую модель нескольких доменов Windows NT 4.0, которые делятся на
домены учетных записей
и
домены ресурса”.
В этом случае KDC выполняет роль домена учетных записей, а службы, работающие в среде Windows 2000, находятся в домене ресурсов. Windows 2000 KDC — это сервер авторизации для служб Windows 2000. Данные авторизации Windows 2000 добавляются в KDC к билетам сеанса, предназначенным для серверов домена Windows 2000. Данные авторизации хранят соответствие между именами партнеров по обмену данными владения UNIX и теневыми (proxy) учетными записями; при этом учитывается принадлежность учетных записей к группам, информация о которых хранится в Active Directory. Эти учетные записи могут быть синхронизированы с помощью LDAP.
Может ли UNIX KDC быть сервером авторизации для служб Windows 2000? Модель распределенной безопасности Windows 2000 зависит не только от списка идентификаторов безопасности, хранящихся в данных авторизации билетов Kerberos. Например, Редактору ACL, используемому для управления безопасностью файлов, расположенных в NTFS, требуется для работы сервер домена, предназначенный для поиска соответствия имени и SID, в процессе которого посредством защищенного канала NetLogon выполняется RFC-вызов к контроллеру домена. Без трансляции идентификаторов, выполняемой интерфейсом RPC, Редактор ACL отображает права доступа к файлам NTFS для учетной записи, имя которой неизвестно (account unknown), поскольку идентификатор безопасности не может быть распознан.
Интерфейс пользователя должен позволять выбирать учетные записи, которым следует предоставить права доступа. Эта функция позволит администратору выбрать пользователя или группу из списка, являющегося результатом запроса LDAP к Active Directory. В нем установлены все соответствия между именами учетных записей и их идентификаторами безопасности.
Для успешной работы UNIX KDC в качестве сервера авторизации служб Windows 2000 необходимо, чтобы KDC обеспечивал поддержку имен NetBIOS. Пользователи Windows NT хорошо знакомы с именами компьютеров для NetBIOS. Кроме того, приложения должны иметь возможность аутентифицироваться в серверах с помощью имен типа
\\project1\projectshare.
Наконец, поставщик безопасности Kerberos проверяет данные авторизации, находящиеся в билетах Kerberos и присланные не обладающими доверием приложениями, с помощью RPC к контроллеру домена. Защищенный RPC используется, чтобы проверить подпись KDC для предотвращения несанкционированного использования привилегий членства в группах.
Замена контроллера домена на UNIX KDC потребует от MIT Kerberos возможности выполнения дополнительных функций, связанных с поддержкой защищенного канала NetLogon, аутентифицированного RPC, имен NetBIOS и протокола LDAP.
На данный момент компания Microsoft интенсивно работает над созданием сетевой системы безопасности, обладающей возможностью работы на различных платформах и основанной на протоколах, являющихся отраслевыми стандартами, например SSL, TLS, ISAKMP/Oakley и Kerberos версии 5. Следует отметить, что возможности взаимодействия со средствами обеспечения безопасности, работающими на других платформах, демонстрируемые Windows 2000, открывают новые перспективы построения защищенных распределенных компьютерных систем на базе гетерогенных сетей предприятий. Управление инфраструктурой системы безопасности сети предприятия требует целого набора протоколов, позволяющих поддерживать модель распределенной безопасности. Важнейшими элементами инфраструктуры распределенных систем на основе Windows 2000 являются аутентификация с использованием Active Directory и протокол Kerberos 5.