INTERNET-WEB.RU
Обучение работе с ПК
Операционные системы
Флеш (Flash)

Аутенфикация Kerberos

Kerberos является одним из стандартов аутенфикации пользователей в системах Интернета. Начиная с Windows 2000, этот протокол является основным и для аутенфикации пользователей в доменах на основе W2K (NTLM сохранен для совместимости с предыдущими версиями ОС). Kerberos позволяет аутенфицировать не только системы на Windows 2000, но и пользователей, например, UNIX-компьютеров.

Подобно персонажу греческой мифологии Церберу, охранявшему загробный мир и имевшему три головы, протокол Kerberos имеет в своей основе три основных элемента: клиента, сервер и центр распределения ключей (Key Distribution Center — KDC). Основные принципы данного протокола состоят в следующем. Операционная система при входе пользователя на основе введенного пароля формирует специальный запрос центру распределения ключей. Центры распределения ключей автоматически создаются на каждом контроллере домена Windows 2000.

KDC проверяет запрос (верность пароля, соответствие иным требованиям для входа в систему) и выдает клиенту так называемый билет — Ticket Granting Ticket (TGT) — как свидетельство верной аутенфикации. Одновременно KDC помещает информацию о пользователе в свою базу — Key Database (KDB), копии которой автоматически поддерживаются на всех контроллерах домена.

Когда клиенту нужно получить доступ к определенным ресурсам, он предъявляет свой билет. Программа проверяет, действителен ли билет, и с учетом прав пользователя предоставляет ему доступ к ресурсам. Таким образом, во-первых, клиенту нужно только один раз проходить проверку в системе. Во-вторых, система может допускать к ресурсам не только клиентов операционных систем W2K. В-третьих, легко реализуется возможность доступа с правами данного пользователя к сетевым ресурсам программ или сервисов, которые он активизирует (достаточно применить билет пользователя). В-четвертых, система — обладатель ресурса самостоятельно проверяет права клиента, без обращения к контроллеру домена, основываясь на данных билета.

Для данного протокола существует ряд параметров его настройки (например, время «жизни» билетов пользователей, билетов сервисов, максимальное значение рассинхронизации времени на компьютерах и т. п.). Часть этих параметров можно настроить с помощью групповой политики (GPO); кроме того, существует ряд утилит, которые позволяют управлять различными элементами этой системы (например, удалять пользователей из базы выданных билетов, настраивать параметры для аутенфикации UNIX-систем и т. п.).

© 2009 internet-web.ru. All Rights Reserved