Реалізація Kerberos в ОС Windows Server 2003

Клієнт Kerberos вбудований у всі ОС Windows сімейства NT5, а реалі-ція KDC – в усі серверні версії NT5 Однак спочатку реалізація Kerberos не розглядалася Microsoft як самостійне рішення (А лише тільки як засіб аутентифікації в AD), тому в стандартній поставці Windows відсутні утиліти для роботи з Kerberos безпосередньо Деякі можливості надають інструменти з пакетів Support Tools і Resource Kit

Служба KDC активізується в серверної ОС тільки при підвищенні ролі сервера до контролера домену AD Як вже зазначалося, контролер до-

мена AD – це KDC і LDAP-сервери, плюс деякі утиліти адмініс-вання цих серверів Сутність Kerberos створюється паралельно із створенням облікового запису користувача, при цьому відбувається пряме відображення име-ні користувача в сутність Kerberos (користувачеві user домену examplecom буде сполучати сутність «user@EXAMPLECOM»)

Складніше йде ситуація з обліковими записами сервісів Оскільки імя користувача Windows не може містити символ «/», то прямого відповідних бути не може Для вирішення цієї проблеми у схемі каталогу визначивши спеціальний багатозначний атрибут – servicePrincipalName Мінус полягає в тому, що всі ці сутності Kerberos використовують один і той же ключ

Для забезпечення взаємодії з Unix-системами пакет Windows Sup-port tools містить утиліту для створення сутностей Kerberos і експортірова-

ня їх ключів у вигляді keytab-файла Дана утиліта має досить великою кількістю параметрів, розглянемо ті з них, які необхід-

ми при створенні keytab-файла

Виклик утиліти буде мати вигляд:

ktpass-princ <сутність> -Crypto des-cbc-md5 + desOnly

-Out + RndPass-mapuser -Mapop set

Нижче наведені коментарі по кожному з параметрів:

-Princ <сутність> – Задає сутність Kerberos

-Crypto – задає, для якої криптосистеми слід генерувати ключ (в на-варте час реалізації від Microsoft і MIT перетинаються тільки по режиму шифрування des-cbc-md5)

+ DesOnly – вказує, що в базі KDC повинен генеруватися ключ тільки

для алгоритму DES

-Out – Імя keytab-файлу

+ RndPass – генерація випадкового ключа

-Mapuser – Вказує, з яким користувачем AD звязати дану сущ-

ність Kerberos

-Mapop set – вказує, що необхідно замінити сутність за замовчуванням (а не додати до списку servicePrincipalName)

Для моніторингу кеша квитків Kerberos використовується утиліта kerbtray

з пакету Windows Resource Kit Після запуску ця утиліта розміщує свою іконку в системному треї, і по подвійному натисненню лівої клавіші миші ви-

водить на екран вікно зі списком квитків користувача та інформації в них

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*