30. Чё-то еще про Kerberos.

В WindowsServerиспользуется следующие компоненты:

1. KDC, реализованный как служба домена. Служба имеет свою учетную запись, которая создается автоматическиkrbtgt(KerberosTGT) при создании нового домена. Её нельзя изменить или переименовать. Пароль присваивается автоматически и меняется периодически. Он используется при вычислении секретного ключа шифрования мандатовTGT.

2. БД учетной записи, в роли которой используется AD, где хранятся не сами пароли, а криптографические ключи, полученные на их основе. Доступ к ним имеет хозяин учетной записи.

3. Политика Керберос, которая входит в политику безопасности домена.

4. Кэш память удостоверений, где сохраняются ключи мандатов, полученные из KDC.

При аутентификации с помощью смарт-карты для шифрования сеансового ключа используется ассиметричная криптография в соответствии с расширением Керберос. Смарт-карта хранит личный ключ пользователя и сертификат. Открытый ключ из сертификата используется для шифрования сеансового ключа пользователя службы KDC. Личный ключ используется для расшифровки сеансового ключа клиента.

Сертификат включается клиентом в его первоначальный запрос на аутентификацию в KDC.KDCпроверяет подлинность сертификата извлекает из него открытый ключ клиента, шифрует на нем сеансовый ключ регистрации и передает его вместе с мандатомTGTклиенту. Расшифровать может только клиент с помощью личного ключа (для шифрования используетсяRSA).

Kerberosиспользует симметричную (обычно) и ассиметричную криптографию. Ассиметричная криптография используется при аутентификации с помощью смарт-карты: для шифрования сеансового ключа используется ассиметричная криптография в соответствии с расширением протоколаKerberos.

В смарт-карте хранится ЛК пользователя и его сертификат. ОК из сертификата используется для шифрования Сеансового Ключа службы KDC, ЛК – для расшифррования этого ключа клиентом. Сертификат включается клиентом в его первоначальный запрос на аутентификацию вKDC.KDCпроверяет подлинность сертификата, извлекает из него ОК, шифрует на нем Сеансовый Ключ регистрации и передает его вместе с мандатомTGTклиенту.

31. Active Directory, дерево доменов

Active Directory позволяет администраторам использовать групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать ПО на множестве компьютеров (через групповые политики или устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.

Дерево доменов существует в том случае, когда один домен является потомком другого. Дерево доменов должно иметь непрерывное пространство имен. Нарушение непрерывности пространства имен не позволяет доменам стать элементами одного дерева.

Имя дерева является именем корневого домена дерева. В нашем примере дереву присвоено имя root.com. Поскольку имена доменов — это имена службы DNS и дочерние домены наследуют имя родителей, при переименовании определенной части дерева все потомки также неявно получают новое имя.

В Windows деревья доменов можно создавать только при повышении сервера до контроллера домена с помощью утилиты DCPROMO.

Размещение доменов в деревьях имеет несколько преимуществ. К наиболее существенным относится существование схемы доверительных отношений Kerberos между родительским доменом и всеми его потомками. Подобная схема доверия позволяет пользователю или группе в дереве доменов получать доступ к любому объекту дерева. Кроме того, на каждой рабочей станции в пределах дерева доменов можно использовать сетевую регистрацию.