ВУЗ:
Составители:
− дополнительно к регистрации посредством ввода пароля может поддерживаться
аутентификация с использованием смарт-карт.
В состав Windows NT входит Microsoft Certificate Server, позволяющий выдавать со-
трудникам и партнерам сертификаты Х.509 версии 3. Системные администраторы могут
указывать, сертификаты каких уполномоченных являются доверяемыми в системе и, та-
ким образом, контролировать аутентификацию доступа к ресурсам.
Внешние пользователи, не имеющие учетных записей Windows NT, могут быть ау-
тентифицированы с помощью сертификатов открытых ключей и соотнесены с сущест-
вующей учетной записью. Права доступа, назначенные для этой учетной записи, опреде-
ляют права внешних пользователей на доступ к ресурсам.
В распоряжении пользователей простые средства управления парами закрытых (от-
крытых) ключей и сертификатами, используемыми для доступа к ресурсам системы.
Технология шифрования встроена в операционную систему и позволяет использо-
вать цифровые подписи для идентификации потоков.
Протокол аутентификации Kerberos определяет взаимодействие между клиентом и
сетевым сервисом аутентификации, известным как
KDC (Key Distribution Center). В
Windows NT KDC используется как сервис аутентификации на всех контроллерах доме-
на. Домен Windows NT эквивалентен области Kerberos, но к ней обращаются как к доме-
ну. Реализация протокола Kerberos в Windows NT основана на определении Kerberos в
RFC1510, Клиент Kerberos реализован в виде ПФБ (поставщика функций безопасности)
Windows NT, основанном на SSPI. Начальная аутентификация Kerberos интегрирована с
процедурой WinLogon. Сервер
Kerberos (KDC) интегрирован с существующими служба-
ми безопасности Windows NT, исполняемыми на контроллере домена. Для хранения ин-
формации о пользователях и группах он использует службу каталогов
Active Directory.
Протокол
Kerberos усиливает существующие функции безопасности Windows NT и
добавляет новые:
−
повышенная скорость аутентификации при установлении начального соединения
(сервер приложений не обращается к контроллеру домена для аутентификации клиента);
−
делегирование аутентификации в многоярусных архитектурах клиент-сервер
(при подключении клиента к серверу, последний имперсонирует (олицетворяет) клиента
в этой системе, но если серверу для завершения транзакции нужно выполнить сетевое
подключение к другому серверу, протокол
Kerberos позволяет делегировать аутентифи-
кацию первого сервера и подключиться ко второму от имени клиента);
−
транзитивные доверительные отношения для междудоменной аутентификации
(т.е. пользователь может быть аутентифицирован в любом месте дерева доменов) упро-
щают управление доменами в больших сетях с несколькими доменами.
Основы Kerberos. Протокол Kerberos является протоколом аутентификации с совме-
стным секретом – и пользователю, и
KDC известен пароль (KDC – зашифрованный па-
роль).
Kerberos определяет серию обменов между клиентами, KDC и серверами для по-
лучения билетов
Kerberos. Когда клиент начинает регистрацию в Windows NT, постав-
щик функций безопасности Kerberos получает начальный билет
Kerberos TGT (Ticket
grantticket), основанный на зашифрованном представлении пароля. Windows NT хранит
TGT в кэше билетов на рабочей станции, связанной с контекстом регистрации пользова-
теля. При попытке клиентской программы обратиться к сетевой службе проверяется кэш
билетов: есть ли в нем верный билет для текущего сеанса работы с сервером. Если такого
билета нет, на
KDC посылается запрос с TGT для получения сеансового билета, разре-
шающего доступ к серверу.
Сеансовый билет добавляется в кэш и может впоследствии быть использован по-
вторно для доступа к тому же самому серверу в течение времени действия билета. Время
действия билета устанавливается доменными правилами и обычно равно восьми часам.
Если время действия билета истекает в процессе сеанса, то поставщик функций безопас-
ности
Kerberos возвращает соответствующую ошибку, что позволяет клиенту и серверу
обновить билет, создать новый сеансовый ключ и возобновить подключение.
Сеансовый билет
Kerberos предъявляется удаленной службе в сообщении о начале
подключения. Части сеансового билета зашифрованы секретным ключом, используемым
совместно службой и
KDC. Сервер может быстро аутентифицировать клиента, проверив
его сеансовый билет и не обращаясь к сервису аутентификации, так как на сервере в кэше
хранится копия секретного ключа. Соединение при этом происходит гораздо быстрее,
чем при аутентификации
NTLM, где сервер получает мандаты пользователя, а затем про-
веряет их, подключившись к контроллеру домена.
Сеансовые билеты
Kerberos содержат уникальный сеансовый ключ, созданный KDC
для симметричного шифрования информации об аутентификации, а также данных, пере-
даваемых от клиента к серверу. В модели
Kerberos KDC используется в качестве инте-
рактивной доверенной стороны, генерирующей сеансовый ключ.
Страницы
- « первая
- ‹ предыдущая
- …
- 83
- 84
- 85
- 86
- 87
- …
- следующая ›
- последняя »
