Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5079 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Otvety_22-36.doc
Скачиваний:
29
Добавлен:
18.03.2015
Размер:
4.79 Mб
Скачать
►Содержание►

25. Защита удаленного доступа пользователя в корпоративной сети. Аутентификация удаленный пользователей. Доп. Механизмы аутентификации пользователя

26. Удаленная аутентификация с использованием Kerberos

Функции центра KDC можно разделить на две категории: службу аутентификации, в задачу которой входит генерация билетов TGT, и службу выдачи билетов, создающую сеансовые билеты. Такое разделение труда позволяет применять протокол Kerberos и за пределами его «родного» домена. Клиент, получивший билет TGT из службы аутентификации одного домена, может воспользоваться им для получения сеансовых билетов в службах выдачи билетов других доменов.

Чтобы лучше понять принцип междоменной аутентификации, рассмотрим для начала простейшую сеть, содержащую всего два домена – «Восток» и «Запад». Предположим, что администраторы этих доменов являются сотрудниками одной организации или у них есть какие-либо другие веские причины уравнять пользователей второго домена со своими собственными. В любом из этих случаев наладить аутентификацию между доменами нетрудно, для этого достаточно договориться о едином междоменном ключе. Как только ключ создан, служба выдачи билетов каждого домена регистрируется в центре KDC другого домена в качестве главного абонента безопасности. В результате служба выдачи билетов каждого из доменов начинает рассматривать службу выдачи билетов второго домена, как еще одну свою службу. Благодаря этому клиент, прошедший аутентификацию и зарегистрировавшийся в системе, может запрашивать и получать сеансовые билеты для нее.

А теперь рассмотрим, что происходит, когда пользователь домена «Восток» запрашивает доступ к серверу из домена «Запад». Клиент Kerberos посылает запрос в службу выдачи билетов своего домена, в котором просит выдать сеансовый билет для доступа на нужный сервер. Служба выдачи билетов домена «Восток» проверяет список своих абонентов безопасности и убеждается, что такого сервера среди них нет. Поэтому она направляет клиенту так называемый билет переадресации, который представляет собой TGT, зашифрованный с помощью междоменного ключа, общего для служб KDC доменов «Восток» и «Запад». Получив билет переадресации, клиент использует его для подготовки другого запроса на сеансовый ключ. Однако на этот раз запрос пересылается в службу выдачи билетов того домена, где находится учетная запись нужного сервера. Его служба выдачи билетов пытается расшифровать билет переадресации с помощью собственной копии междоменного ключа. Если попытка удается, центр KDC направляет клиенту сеансовый билет на доступ к соответствующему серверу своего домена.

27. Мандаты. Kdc Структура мандатов

Первые три поля не шифруются:

  1. Номер версии формата мандата.

  2. Имя области, где создан мандат.

  3. Имя сервера, с которым клиент хочет связаться.

Остальные поля шифруются на симметричном ключе сервера:

  1. Поле флажков (один из них – флаг обновляемости мандата).

  2. Сеансовый ключ.

  3. Имя области клиента.

  4. Имя клиента.

  5. Список областей Керберос, участвующих в аутентификации клиента.

  6. Время первоначальной аутентификации клиента.

  7. Время вступления мандата в силу.

  8. Время окончания действия мандата. Определяется из двух значений:

  1. минимальное из суммы предыдущего поля и срока действия мандата, определенного политикой Керберос;

  2. срок окончания действия мандата, указанное в запросе клиента.

  1. Время жизни обновляемого мандата.

  2. Обычно неиспользуемое поле адресов, из которых можно использовать данный мандат.

  3. Набор привилегий клиента. Поле не обязательно и Керберосом не обрабатывается. Обрабатывается сервером.

Для повышения надежности мандатов необходимо периодически менять их или использовать обновляемый мандат. В WindowsServerиспользуется следующие компоненты:

  1. KDC, реализованный как служба домена. Служба имеет свою учетную запись, которая создается автоматическиkrbtgt(KerberosTGT) при создании нового домена. Её нельзя изменить или переименовать. Пароль присваивается автоматически и меняется периодически. Он используется при вычислении секретного ключа шифрования мандатовTGT.

  2. БД учетной записи, в роли которой используется AD, где хранятся не сами пароли, а криптографические ключи, полученные на их основе. Доступ к ним имеет хозяин учетной записи.

  3. Политика Керберос, которая входит в политику безопасности домена.

  4. Кэш память удостоверений, где сохраняются ключи мандатов, полученные из KDC.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности