[ Pobierz całość w formacie PDF ]
.Kiedy Ccentrum dystrybucjikluczy (Key Distribution Center-(KDC) otrzymuje ¿¹danie klienta, tworzy wtedybilet dla serwera wewnêtrznego (back-end server), ustawia w tym bilecieznacznik PROXY i wysy³a z powrotem do klienta.Nastêpnie kKlient nastêpniewysy³a bilet do serwera zewnêtrznego (front-end server), który korzysta z tegobiletu, aby uzyskaæ dostêp do serwera wewnêtrznego (back-end server).Bilety przekazywane (forwarded tickets)Jeœli klient chce delegowaæ do serwera zewnêtrznego (front-end server) zadanieuzyskiwania biletów dla serwera wewnêtrznego (back-end server), to ¿¹da odCcentrum dystrybucji kluczyCentrum Dystrybucji Kluczy (Key DistributionCenter-KDC) przekazywalnego (forwardable) biletu gwarantuj¹cego bilet(Ticket-Granting Ticket-TGT).Klient robi to za pomoc¹ komunikatu ¿¹daniapodprotoko³u Authentication Service Exchange, wskazuj¹c Ccentrum dystrybucjikluczyCentrum Dystrybucji Kluczy (Key Distribution Center-KDC) nazwê serwera,który bêdzie dzia³a³æ w jego imieniu.Jeœli zasady (policyies) protoko³uKerberos zezwalaj¹ na przekazywanie (forwarding), to Ccentrum dystrybucjikluczyCentrum Dystrybucji Kluczy (Key Distribution Center-KDC) tworzy biletgwarantuj¹cy bilet (Ticket-Granting Ticket-TGT) dla serwera zewnêtrznego(front-end server),który jest u¿ywany w imieniu klienta, ustawia znacznikFORWARDABLE i wysy³a bilet gwarantuj¹cy bilet (Ticket-Granting Ticket-TGT) zpowrotem do klienta.Nastêpnie klient przekazuje ten bilet do serwerazewnêtrznego (front-end serwer).Serwer zewnêtrzny (front-end server), ¿¹daj¹c biletu do serwera wewnêtrznego(back-end serwer) przedstawia Ccentrum dystrybucji kluczyCentrum DystrybucjiKluczy (Key Distribution Center-KDC) bilet gwarantuj¹cy bilet (Ticket-GrantingTicket-TGT) klienta.Centrum dystrybucji kluczy (Key Distribution Center-KDC) ,wydaj¹c bilet, sprawdza znacznik FORWARDABLE w tym bilecie gwarantuj¹cym bilet(Ticket-Granting Ticket-TGT), ustawia w wydawanym bilecie znacznik FORWARDED izwraca bilet do serwera zewnêtrznego (front-end server).Konfigurowanie zasad domeny protoko³u Kerberos (Kerberos domain policiesy)W systemie Windows 2000 zasady (policiesy) protoko³u Kerberos s¹ okreœlane napoziomie domeny i wprowadzane w ¿ycie przez Ccentrum dystrybucji kluczyCentrumDystrybucji Kluczy (Key Distribution Center -— KDC) danej domeny.Zasady(policy) protoko³u Kerberos s¹ zapisane w Active Directory jako podzbióratrybutów zasad zabezpieczeñ domeny (domain security policy).Domyœlnie zasady(policiesy) mog¹ byæ konfigurowane tylko przez administratorów sieci (cz³onkówgrupy Domain Administrators).Do ustawieñ zasad (policy settings) protoko³uKerberos mo¿na uzyskaæ dostêp: edytuj¹c obiekt zasad grupy (GPO) Zasady domenyDomeny (DdDomain PpPolicyies), rozwijaj¹c ga³êzie Konfiguracja komputeraKomputera (CcComputer CcConfiguration), Ustawienia systemu Systemu Windows(Windows SsSettings), Ustawienia zabezpieczeñ Zabezpieczeñ (SsSecuritysSSettings) i Zasady konta (Aaccount Ppoliciesy), a nastêpnie wybieraj¹cpozycjê Zasady protoko³u Protoko³u Kerberos (Kerberos pPPolicyies), jakprzedstawiono to na rysunku 4.8.Rysunek 4.8.Ustawienia zasad domeny (domain policiesy) protoko³u Kerberos.Zasady (policy) protoko³u Protoko³u Kerberos obejmuj¹ nastêpuj¹ce ustawienia:W wWymuszaj ograniczenia logowania u¿ytkowników (EeEnforce user logonrestrictions) — Jjeœli ta opcja jest ustawiona, to Ccentrum dystrybucjikluczyCentrum Dystrybucji Kluczy (Key Distribution Center-KDC) zatwierdza ka¿de¿¹danie biletu sesji (session ticket), sprawdzaj¹c zasady praw u¿ytkownika(user rights policiesy) na komputerze docelowym, aby potwierdziæ, ¿e u¿ytkownikma prawo albo do logowania lokalnego, albo do dostêpu poprzez sieæ.Weryfikacjajest opcjonalna, poniewa¿ dodatkowy etap trwa pewien czas jest czasoch³onny imo¿e spowolniæ dostêp sieciowy do us³ug.Domyœlnie ustawione jest Zezwolenie(eEnabled),.mMMaksymalny okres wa¿noœci biletu us³ugi (MmMaximum lifetime for serviceticket) — oOkreœlenie bilet us³ugi (service ticket) oznacza bilet sesji(session ticket).Okres wa¿noœci podany jest w minutach i musi byæ d³u¿szy ni¿10 minut i mniejszy lub równy wartoœci Maksymalny czas wa¿noœci biletuu¿ytkownika (mMMaximum lifetime for user ticket).Domyœln¹ wartoœci¹ jest 600minut (10 godzin),.MmMaksymalny czas wa¿noœci biletu u¿ytkownika (MmMaximum lifetime for userticket) — Ookreœlenie bilet u¿ytkownika (user's ticket) oznacza biletgwarantuj¹cy bilet (Ticket-Granting Ticket-TGT).Wartoœæ podana jest wgodzinach (.Ddomyœln¹ wartoœci¹ jest 10 godzin).,MmMaksymalny czas odnawiania biletu u¿ytkownika (MmMaximum lifetime for userticket renewal) — Wwartoœæ podana jest w dniach (d.Domyœlnie jest to 7 dni).,MmMaksymalna tolerancja synchronizacji zegarów komputerów (MmMaximum tolerancefor computer clock synchronization) — wWartoœæ podana jest w minutach.D(domyœlnie jest to — 5 minut).Us³ugodawca obs³ugi zabezpieczeñ KerberosUs³ugodawca Us³ugodawca obs³ugi Obs³ugi zabezpieczeñ Zabezpieczeñ (SecuritySupport Provider — SSP) by³ wspominany w niniejszym rozdziale kilkakrotnie, alerazy bez szczegó³owych wyjaœnieñania co to jest
[ Pobierz całość w formacie PDF ]