ВУЗ:
Составители:
Интеграция Kerberos. Протокол Kerberos полностью интегрирован с системой безо-
пасности и контроля доступа Windows NT. Начальная регистрация в Windows NT обес-
печивается процедурой WinLogon, использующей ПФБ
Kerberos для получения началь-
ного билета
TGT. Другие компоненты системы, например, Redirector, применяют интер-
фейс
SSPI к ПФБ Kerberos для получения сеансового билета для удаленного доступа к
файлам сервера SMB.
Взаимодействие Kerberos. Протокол Kerberos версии 5 реализован в различных сис-
темах и используется для единообразия аутентификации в распределенной сети.
Под взаимодействием
Kerberos подразумевается общий протокол, позволяющий
учетным записям аутентифицированных пользователей, хранящимся в одной базе осуще-
ствлять доступ ко всем сервисам в гетерогенной среде. Взаимодействие
Kerberos осно-
вывается на следующих характеристиках:
−
общий протокол аутентификации пользователя или сервиса по основному имени
при сетевом подключении;
−
возможность определения доверительных отношений между областями Kerberos
и создания ссылочных запросов билетов между областями;
−
поддержка определенных в RFC 1510 требований к взаимодействию, относящих-
ся к алгоритмам шифрования и контрольных сумм, взаимной аутентификации и другим
возможностям билетов;
−
поддержка форматов маркера безопасности Kerberos версии 5 для установления
контекста и обмена сообщениями.
Поддержка Kerberos открытых ключей. В Windows NT также реализованы расши-
рения протокола Kerberos, поддерживающие дополнительно к аутентификации с совме-
стно используемым секретным ключом аутентификацию, основанную на парах открыто-
го (закрытого) ключа. Поддержка открытых ключей позволяет клиентам запрашивать
начальный ключ
TGT с помощью закрытого ключа, в то время как KDC проверяет запрос
с помощью открытого ключа, полученного из сертификата Х.509 (хранится в пользова-
тельском объекте в каталоге
Active Directory), Сертификат пользователя может быть вы-
дан как сторонним уполномоченным сертификации (
Certification Authority), так и
Microsoft Certificate Server, входящим в Windows NT. После начальной аутентификации
закрытым ключом используются стандартные протоколы Kerberos для получения сеансо-
вых билетов на доступ к сетевым службам,
Модель безопасности Windows NT обеспечивает однородный и унифицированный
механизм контроля за доступом к ресурсам домена на основе членства в группах. Компо-
ненты безопасности Windows NT доверяют хранимой в каталоге информации о защите.
Например, сервис аутентификации Windows NT хранит зашифрованные пароли пользо-
вателей в безопасной части каталога объектов пользователя. По умолчанию операцион-
ная система «считает», что правила безопасности защищены и не могут быть изменены
кем-либо несанкционированно. Общая политика безопасности домена также хранится в
каталоге Active Directory.
Делегирование административных полномочий – гибкий инструмент ограничения
административной деятельности рамками части домена. Этот метод позволяет предоста-
вить отдельным сотрудникам возможность управления пользователями или группами в
заданных пределах и, в то же время, не дает им прав на управление учетными записями,
относящимися к другим подразделениям.
Права на определение новых пользователей или создание групп пользователей деле-
гируются на уровне OU или контейнера, в котором создана учетная запись.
Существует три способа делегирования административных полномочий:
1)
на изменение свойств определенного контейнера, например, LocalDomainPolicies
самого домена;
2)
на создание и удаление дочерних объектов определенного типа (пользователи,
группы, принтеры и пр.) внутри OU;
3)
на обновление определенных свойств некоторых дочерних объектов внутри OU
(например, право устанавливать пароль для объектов типа User).
Делегировать полномочия просто. Достаточно выбрать лицо, которому будут деле-
гированы полномочия, и указать, какие именно полномочия передаются. Интерфейс про-
граммы администрирования Active Directory позволяет без затруднений просматривать
информацию о делегировании, определенную для контейнеров.
Наследование прав доступа означает, что информация об управлении доступом, оп-
ределенная в высших слоях контейнеров в каталоге, распространяется ниже – на вложен-
ные контейнеры и объекты-листья. Существуют две модели наследования прав доступа:
динамическая и статическая. При динамическом наследовании права определяются пу-
тем оценки разрешений на доступ, назначенных непосредственно для объекта, а также
для всех родительских объектов в каталоге. Это позволяет эффективно управлять досту-
Страницы
- « первая
- ‹ предыдущая
- …
- 84
- 85
- 86
- 87
- 88
- …
- следующая ›
- последняя »
