ВУЗ:
Составители:
Рубрика:
Когда вы входите в Windows 2000/XP, локальные средства защиты LSA (Local
Security Authority) проводят проверку подлинности, предоставляя вам билет TGT (Ticket
Granting Ticket — билет для получения билета), выступающий в качестве пропуска. Затем,
когда вам потребуется доступ к определенным ресурсам сети, вы представите свой билет
TGT контроллеру домена и запросите билет для получения доступа к ресурсу. Билет на
доступ к определенному ресурсу также известен как билет службы ST (Service Ticket). Ко-
гда вам необходимо получить доступ к ресурсу, ваш билет службы предоставляется ре-
сурсу. После этого вам предоставляется доступ к ресурсу, а ваши права определяются
списком контроля доступа ACL для этого ресурса.
Реализация протокола Kerberos в Windows 2000/XP полностью совместима с пятой
версией этого протокола, разработанной проблемной группа проектирования Internet
(IETF), изначально созданного в Массачусетсском технологическом институте. Эта спе-
цификация поддерживается многими производителями программного обеспечения, по-
этому билеты, выданные в домене Windows 2000 (сфере протокола Kerberos), принимают
другие области: сети Mac OS, Novell Netware, UNIX, AIX, IRIX и др.
Таким образом, между контроллерами доменов Kerberos (Kerberos Domain
Controller — KDC) в соответствующих областях можно устанавливать доверительные от-
ношения. Эти отношения работают точно так же, как и доверительные отношения
Windows NT, настраиваемые между главными контроллерами доменов PDC. А поскольку
Windows 2000 поддерживает NT LAN Manager (NTLM), поддерживаются и доверительные
отношения с наследуемыми доменами Windows.
Доверительные отношения между неоднородными сетями не настолько прозрачны,
как между доменами Active Directory, когда контроллеры домена явно "ручаются" за всех
своих пользователей. Доверительные отношения между доменами Windows 2000/XP,
Windows 2000 и Windows NT, Windows 2000/XP и другими областями должны быть настроены
вручную администратором. Процесс настройки доверительных отношений с областями
UNIX или IRIX может значительно отличаться от настройки доверительных отношений
между областями Windows 2000/XP.
Протокол Kerberos — это очень быстрый протокол и идеальная среда для реализации
инициативы Single Sign-On (разовый вход в систему) для проведения проверки подлинности.
С точки зрения безопасности, подход Single Sign-On обеспечивает массу преиму-
ществ. Когда пользователь должен использовать шесть или семь паролей, он шесть или
семь раз может скомпрометировать систему безопасности. С использованием механизма
Single Sign-On пользователь проходит проверку подлинности всего один раз, чего доста-
точно для получения доступа ко всем ресурсам, по отношению к которым он обладает не-
Когда вы входите в Windows 2000/XP, локальные средства защиты LSA (Local
Security Authority) проводят проверку подлинности, предоставляя вам билет TGT (Ticket
Granting Ticket — билет для получения билета), выступающий в качестве пропуска. Затем,
когда вам потребуется доступ к определенным ресурсам сети, вы представите свой билет
TGT контроллеру домена и запросите билет для получения доступа к ресурсу. Билет на
доступ к определенному ресурсу также известен как билет службы ST (Service Ticket). Ко-
гда вам необходимо получить доступ к ресурсу, ваш билет службы предоставляется ре-
сурсу. После этого вам предоставляется доступ к ресурсу, а ваши права определяются
списком контроля доступа ACL для этого ресурса.
Реализация протокола Kerberos в Windows 2000/XP полностью совместима с пятой
версией этого протокола, разработанной проблемной группа проектирования Internet
(IETF), изначально созданного в Массачусетсском технологическом институте. Эта спе-
цификация поддерживается многими производителями программного обеспечения, по-
этому билеты, выданные в домене Windows 2000 (сфере протокола Kerberos), принимают
другие области: сети Mac OS, Novell Netware, UNIX, AIX, IRIX и др.
Таким образом, между контроллерами доменов Kerberos (Kerberos Domain
Controller — KDC) в соответствующих областях можно устанавливать доверительные от-
ношения. Эти отношения работают точно так же, как и доверительные отношения
Windows NT, настраиваемые между главными контроллерами доменов PDC. А поскольку
Windows 2000 поддерживает NT LAN Manager (NTLM), поддерживаются и доверительные
отношения с наследуемыми доменами Windows.
Доверительные отношения между неоднородными сетями не настолько прозрачны,
как между доменами Active Directory, когда контроллеры домена явно "ручаются" за всех
своих пользователей. Доверительные отношения между доменами Windows 2000/XP,
Windows 2000 и Windows NT, Windows 2000/XP и другими областями должны быть настроены
вручную администратором. Процесс настройки доверительных отношений с областями
UNIX или IRIX может значительно отличаться от настройки доверительных отношений
между областями Windows 2000/XP.
Протокол Kerberos — это очень быстрый протокол и идеальная среда для реализации
инициативы Single Sign-On (разовый вход в систему) для проведения проверки подлинности.
С точки зрения безопасности, подход Single Sign-On обеспечивает массу преиму-
ществ. Когда пользователь должен использовать шесть или семь паролей, он шесть или
семь раз может скомпрометировать систему безопасности. С использованием механизма
Single Sign-On пользователь проходит проверку подлинности всего один раз, чего доста-
точно для получения доступа ко всем ресурсам, по отношению к которым он обладает не-
Страницы
- « первая
- ‹ предыдущая
- …
- 71
- 72
- 73
- 74
- 75
- …
- следующая ›
- последняя »
