r 01.05 (11)

[ Pobierz całość w formacie PDF ]
.Inicjalizacjapo��czenia sesji (session connection setup) jest po stronie serwera o wieleszybsza ni� w przypadku autoryzacji za pomoc� protoko�u NTLM.W protokole NTLMserwer uzyska�by dane uwierzytelniaj�ce (credentials) u�ytkownika, a nast�pniemusia�by ponownie uwierzytelnia� u�ytkownika poprzez centrum Centrumdystrybucji Dystrybucji kluczy Kluczy (KDC).Initial Client Authentication to KDC � Pocz�tkowe uwierzytelnianie klienta docentrum dystrybucji kluczy (KDC)Request Session Ticket from KDC for Target Server � ��danie biletu sesji zcentrum dystrybucji kluczy (KDC) dla serwera docelowegoPresent Session Ticket at Connection Setup � Aktualny bilet sesji podczasustanawiania po��czeniaVerifies Session Ticket Issued by KDC � Weryfikacja biletu sesji wydanego przezcentrum dystrybucji kluczy (KDC)Application Server (Target) � Serwer aplikacji (docelowy)Key Distribution Center (KDC) � Centrum dystrybucji kluczyWindows Directory Server � Serwer katalogowy Systemu WindowsWindows Domain Controller � Kontroler domeny systemu WindowsRysunek 1.5.Protokó� uwierzytelniania KerberosBilet sesji (session ticket) protoko�u Kerberos zawiera unikatowy klucz sesji(session key) utworzony przez centrum Centrum dystrybucji Dystrybucji kluczyKluczy (KDC), aby zastosowa� go do symetrycznego szyfrowania (symmetricencryption) informacji uwierzytelniaj�cych (authentication information) idanych przesy�anych pomi�dzy klientem a serwerem.W modelu protoko�u Kerberoscentrum Centrum dystrybucji Dystrybucji kluczy Kluczy (KDC) jest niezale�n�,godn� zaufania jednostk�, pracuj�c� w trybie online (online trusted thirdparty), która generuje klucz sesji (session key).W ten sposób, w przypadkurozproszonych us�ug u�ytkowych (distributed application services),uwierzytelnianie w trybie online za pomoc� protoko�u Kerberos jest bardzowydajne.Integracja protoko�u Kerberos z architektur� zabezpiecze� systemu Windows 2000Protokó� Kerberos jest w pe�ni zintegrowany z architektur� zabezpiecze� systemuWindows 2000 do uwierzytelniania i kontroli dost�pu.Us�uga logowania systemuWindows (WinLogon) zapewnia wst�pne logowanie do domeny systemu Windows zapomoc� us�ugodawcy zabezpiecze� (security provider) protoko�u Kerberos, któryuzyskuje wst�pny bilet (ticket) tego protoko�u.Inne sk�adniki systemuoperacyjnego, takie jak us�uga przeadresowywania (redirector) lub stacjarobocza (workstation), wykorzystuj� interfejs SSPI us�ugodawcy zabezpiecze�(security provider) protoko�u Kerberos, aby otrzyma� bilet sesji (sessionticket) do po��czenia si� z serwerem SMB (Server Message Block Server) w celuuzyskania dost�pu do plików zdalnych.Protokó� Kerberos 5 definiuje pole zaszyfrowane w biletach sesji (sessionticket), które zawiera dane o autoryzacji (authorization data).Pole to jestu�ywane przez aplikacje.System Windows 2000 korzysta z danych o autoryzacjizawartych w biletach (tickets) protoko�ów Kerberos do przekazywaniaidentyfikatorów zabezpiecze� systemu Windows (Windows Security IDs)przedstawiaj�cych u�ytkowników i cz�onkostwo w grupach.Us�ugodawcazabezpiecze� (security provider) protoko�u Kerberos po stronie serwerawykorzystuje dane o autoryzacji w celu utworzenia bezpiecznego znacznikadost�pu (security access token) systemu Windows przedstawiaj�cego u�ytkownikatego systemu.Serwer pe�ni rol� modelu zabezpiecze� (security model) systemuWindows personifikowania (impersonating) klienta, stosuj�c znacznik dost�pu(access token), przedstawiaj�cy klienta przed prób� uzyskania dost�pu dozasobów lokalnych chronionych za pomoc� list List kontroli Kontroli dost�puDost�pu (ACLs).Delegowanie uwierzytelniania (delegation of authentication)jest obs�ugiwane przez protokó� Kerberos 5 za pomoc� znaczników (flags):po�rednictwo (proxy) i przesy�anie dalej (forwarding), znajduj�cych si� wbiletach sesji (session ticket).W systemie Windows 2000 delegowanie pozwalaserwerom na uzyskanie innych biletów sesji (session ticket) do ��czenia zserwerami zdalnymi w imieniu klienta.Wspó�dzia�anie ró�nych implementacji protoko�u KerberosProtokó� Kerberos zosta� zaimplementowany dla ró�nych systemów i jest stosowanyjako jedyna us�uga uwierzytelniania w sieciach rozproszonych [ Pobierz całość w formacie PDF ]

download | pobieranie | ebook | pdf | do ÂściÂągnięcia

Archiwum