рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Аутентификация Kerberos и безопасность домена

Работа сделанна в 2000 году

Аутентификация Kerberos и безопасность домена - раздел Связь, - 2000 год - Система безопастности MS Windows 2000 Server Аутентификация Kerberos И Безопасность Домена. Аутентификация Kerberos Была Р...

Аутентификация Kerberos и безопасность домена. Аутентификация Kerberos была разработана Массачусетским технологическим институтом Massachusetts Institute of Techology, MIT для реализации межкомпьютерной доверительной системы, способной проверять подлинность принципалов безопасности таких, как пользователь или компьютер через открытую небезопасную сеть. Kerberos не зависит от аутентификации, осуществляемой участвующими компьютерами, или сохранности данных при передаче по сети. По этой причине Kerberos идеальна для аутентификации через Интернет или в больших сетях.

Kerberos действует как надежная служба аутентификации третьей фирмы, используя общие секретные ключи В Windows 2000 общий секретный ключ генерируется при входе компьютера в домен.

Поскольку обе стороны сеанса Kerberos доверяют KDC, они доверяют друг другу. На практике это доверие реализовано как безопасный обмен зашифрованными ключами, которые подтверждают участникам взаимодействия идентификационные данные другой стороны.

Аутентификация Kerberos работает следующим образом. 1. Клиент запрашивает возможный набор идентификационных данных для данного сервера у KDC, отправляя запрос в простом текстовом формате, содержащий имя клиента идентификатор . 2. KDC ищет секретные ключи, как клиента, так и сервера в своей базе данных Active Directory и создает билет ticket, содержащий случайный ключ сеанса, текущее время KDC, заданное политикой время окончания, и, в зависимости от параметров, любую другую информацию, хранимую в базе данных.

В случае Windows 2000 в билете содержатся идентификаторы SID. 3. Билет зашифровывается с использованием секретного ключа клиента. 4. Создается второй билет, называемый билетом сеанса session ticket, содержащий ключ сеанса и необязательные данные аутентификации, которые зашифровываются с использованием секретного ключа сервера. 5. Соединенные билеты передаются обратно клиенту. Серверу аутентификации нет необходимости явным образом проверять подлинность клиента, потому что только обладающий полномочиями клиент может расшифровать билет. 6. После того как клиент получил в свое распоряжение допустимый билет и ключ сеанса для сервера, он инициирует взаимодействие непосредственно с сервером.

Для этого клиент конструирует удостоверение authenticator, состоящее из текущего времени, имени клиента, по желанию - зависящую от приложения контрольную сумму и случайным образом сгенерированный начальный номер последовательности и или подключ сеанса, используемые для извлечения уникального идентификатора сеанса для требуемой службы.

Удостоверения действуют только для одной попытки и не могут применяться повторно или использоваться в атаках воспроизведения, потому что они зависят от текущего времени. Удостоверение шифруется при помощи ключа сеанса и передается вместе с билетом сеанса серверу, у которого запрашивается служба. 7. Когда сервер получает билет от клиента, он расшифровывает билет сеанса при помощи общего секретного ключа сервера если существует более одного ключа, нужный ключ указывается в части билета в простой текстовой форме . 8. Затем сервер извлекает из билета ключ сеанса и использует его для расшифровки удостоверения.

Способность сервера расшифровать билет подтверждает, что он был зашифрован при помощи секретного ключа сервера, известного только KDC и самому серверу, таким образом, подлинность клиента подтверждается.

Удостоверение используется для гарантии того, что взаимодействие недавнее и не является атакой на основе повторного запроса. Билеты могут повторно использоваться в течение периода, определяемого политикой безопасности домена, но не превышающего восьми часов. Клиенты кэшируют свои билеты сеанса в безопасном месте, расположенном в оперативной памяти, и уничтожают их по истечению срока действия. Kerberos сокращает предоставление билетов, во время первого контакта с клиентом предоставляя билет сеанса самому себе так же, как и запрашиваемому серверу.

КОС отвечает на этот первоначальный запрос - сначала предоставляя билет сеанса для последующих запросов о билетах, называемый Ticket-Granting Ticket билет на предоставление билетов, TGT , и затем - билет сеанса для запрашиваемого сервера. TGT устраняет потребность в дальнейшем проводимом Active Directory поиске клиента, осуществляя предварительную аутентификацию последующих запросов о билетах точно таким же способом, каким Kerberos осуществляет аутентификацию всех остальных запросов.

Как и любой билет сеанса, билет TGT действителен до истечения срока действия, который зависит от политики безопасности домена. Kerberos технически делится на две службы службу TGT единственную службу, которая действительно осуществляет аутентификацию в Active Directory и службу предоставления билетов, выдающую билеты сеансов по получении допустимого TGT. 6.1.2.

– Конец работы –

Эта тема принадлежит разделу:

Система безопастности MS Windows 2000 Server

Windows NT 4.0 выбрана не случайно она позиционируется как ОС для предприятий, обладает встроенными возможностями разграничения доступа к ресурсам и… Но если заглянуть в Windows 2000 Server, то, очевидно, что, несмотря на… Несмотря на то что, судя по пользовательскому интерфейсу, Windows 2000 Server больше похожа на Windows 98, на самом…

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Аутентификация Kerberos и безопасность домена

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Структура сетевой операционной системы
Структура сетевой операционной системы. Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети в значительной степени автономен, поэтому под сетевой опера

Одноранговые сетевые ОС и ОС с выделенными серверами
Одноранговые сетевые ОС и ОС с выделенными серверами. В зависимости от того, как распределены функции между компьютерами сети, сетевые операционные системы, а следовательно, и сети делятся на два к

Системы семейства Windows NT
Системы семейства Windows NT. При разработке Windows NT 4.0 Microsoft решила пожертвовать стабильностью ради производительности. С этой целью были внесены изменения в архитектуру библиотеки

Теория Безопасности
Теория Безопасности. Когда Windows NT впервые появилась в 1993 г под безопасностью подразумевались меры предохранения важной информации на сервере от просмотра не имеющими на то прав пользователями

Алгоритмы шифрования
Алгоритмы шифрования. Один из алгоритмов, который был разработан в секрете, но потом стал доступен для общественного использования, так же как и для государственного но только для информации Unclas

Симметрические функции
Симметрические функции. Если один и тот же ключ может быть использован для зашифровки или расшифровки сообщения, то такой шифр использует симметрическую функцию symmetric function. Один ключ должен

Однонаправленные функции
Однонаправленные функции. При наборе пароля для входа в Windows 2000, он шифруется и сравнивается с хранимым зашифрованным значением пароля. Пароль сохраняется при помощи однонаправленной функции o

Применение шифрования
Применение шифрования. Шифрование можно использовать для защиты следующих типов данных в сети закрытая передача данных безопасное хранение файлов аутентификация пользователя или компьютера безопасн

Локальная безопасность Windows
Локальная безопасность Windows. ServerБезопасность Windows 2000 основана на аутентификации пользователей. Проходя процедуру входа в систему обеспечиваемую процессом WinLogon, пользователь ид

Идентификаторы безопасности
Идентификаторы безопасности. Принципалы безопасности, такие как пользователи и компьютеры, представлены в системе идентификаторами безопасности security identifier, SID . SID уникально идентифициру

Доступ к ресурсам
Доступ к ресурсам. Потоки thread, отдельные ветви выполнения процесса должны предоставлять токен доступа при каждой попытке доступа к ресурсу. Потоки получают токены доступа от родительских

Объекты и Разрешения
Объекты и Разрешения. Windows 2000 поддерживает безопасность для различных типов объектов, включая но не ограничиваясь ими каталоги, файлы, принтеры, процессы и сетевые общие папки. Каждый объект п

Доверительные отношения между доменами
Доверительные отношения между доменами. Kerberos работает через границы домена домены в терминологии Kerberos называются сферами realm, эти термины эквивалентны. Имя домена, к которому принадлежит

Безопасность общих папок
Безопасность общих папок. Общие папки shares - это каталоги или тома на рабочей станции или сервере, к которым имеют доступ другие компьютеры в сети. Доступ к общим папкам может быть либо открытым,

Шифрование сетевого уровня
Шифрование сетевого уровня. Виртуальные частные сети virtual private network, VPN это высокозатратный способ расширить локальную сеть через Интернет до удаленных сетей и удаленных клиентских компью

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги