[ Pobierz całość w formacie PDF ]
.Inicjalizacjapo³¹czenia sesji (session connection setup) jest po stronie serwera o wieleszybsza ni¿ w przypadku autoryzacji za pomoc¹ protoko³u NTLM.W protokole NTLMserwer uzyska³by dane uwierzytelniaj¹ce (credentials) u¿ytkownika, a nastêpniemusia³by ponownie uwierzytelniaæ u¿ytkownika poprzez centrum Centrumdystrybucji Dystrybucji kluczy Kluczy (KDC).Initial Client Authentication to KDC — Pocz¹tkowe uwierzytelnianie klienta docentrum dystrybucji kluczy (KDC)Request Session Ticket from KDC for Target Server — ¯¹danie biletu sesji zcentrum dystrybucji kluczy (KDC) dla serwera docelowegoPresent Session Ticket at Connection Setup — Aktualny bilet sesji podczasustanawiania po³¹czeniaVerifies Session Ticket Issued by KDC — Weryfikacja biletu sesji wydanego przezcentrum dystrybucji kluczy (KDC)Application Server (Target) — Serwer aplikacji (docelowy)Key Distribution Center (KDC) — Centrum dystrybucji kluczyWindows Directory Server — Serwer katalogowy Systemu WindowsWindows Domain Controller — Kontroler domeny systemu WindowsRysunek 1.5.Protokó³ uwierzytelniania KerberosBilet sesji (session ticket) protoko³u Kerberos zawiera unikatowy klucz sesji(session key) utworzony przez centrum Centrum dystrybucji Dystrybucji kluczyKluczy (KDC), aby zastosowaæ go do symetrycznego szyfrowania (symmetricencryption) informacji uwierzytelniaj¹cych (authentication information) idanych przesy³anych pomiêdzy klientem a serwerem.W modelu protoko³u Kerberoscentrum Centrum dystrybucji Dystrybucji kluczy Kluczy (KDC) jest niezale¿n¹,godn¹ zaufania jednostk¹, pracuj¹c¹ w trybie online (online trusted thirdparty), która generuje klucz sesji (session key).W ten sposób, w przypadkurozproszonych us³ug u¿ytkowych (distributed application services),uwierzytelnianie w trybie online za pomoc¹ protoko³u Kerberos jest bardzowydajne.Integracja protoko³u Kerberos z architektur¹ zabezpieczeñ systemu Windows 2000Protokó³ Kerberos jest w pe³ni zintegrowany z architektur¹ zabezpieczeñ systemuWindows 2000 do uwierzytelniania i kontroli dostêpu.Us³uga logowania systemuWindows (WinLogon) zapewnia wstêpne logowanie do domeny systemu Windows zapomoc¹ us³ugodawcy zabezpieczeñ (security provider) protoko³u Kerberos, któryuzyskuje wstêpny bilet (ticket) tego protoko³u.Inne sk³adniki systemuoperacyjnego, takie jak us³uga przeadresowywania (redirector) lub stacjarobocza (workstation), wykorzystuj¹ interfejs SSPI us³ugodawcy zabezpieczeñ(security provider) protoko³u Kerberos, aby otrzymaæ bilet sesji (sessionticket) do po³¹czenia siê z serwerem SMB (Server Message Block Server) w celuuzyskania dostêpu do plików zdalnych.Protokó³ Kerberos 5 definiuje pole zaszyfrowane w biletach sesji (sessionticket), które zawiera dane o autoryzacji (authorization data).Pole to jestu¿ywane przez aplikacje.System Windows 2000 korzysta z danych o autoryzacjizawartych w biletach (tickets) protoko³Ã³w Kerberos do przekazywaniaidentyfikatorów zabezpieczeñ systemu Windows (Windows Security IDs)przedstawiaj¹cych u¿ytkowników i cz³onkostwo w grupach.Us³ugodawcazabezpieczeñ (security provider) protoko³u Kerberos po stronie serwerawykorzystuje dane o autoryzacji w celu utworzenia bezpiecznego znacznikadostêpu (security access token) systemu Windows przedstawiaj¹cego u¿ytkownikatego systemu.Serwer pe³ni rolê modelu zabezpieczeñ (security model) systemuWindows personifikowania (impersonating) klienta, stosuj¹c znacznik dostêpu(access token), przedstawiaj¹cy klienta przed prób¹ uzyskania dostêpu dozasobów lokalnych chronionych za pomoc¹ list List kontroli Kontroli dostêpuDostêpu (ACLs).Delegowanie uwierzytelniania (delegation of authentication)jest obs³ugiwane przez protokó³ Kerberos 5 za pomoc¹ znaczników (flags):poœrednictwo (proxy) i przesy³anie dalej (forwarding), znajduj¹cych siê wbiletach sesji (session ticket).W systemie Windows 2000 delegowanie pozwalaserwerom na uzyskanie innych biletów sesji (session ticket) do ³¹czenia zserwerami zdalnymi w imieniu klienta.Wspó³dzia³anie ró¿nych implementacji protoko³u KerberosProtokó³ Kerberos zosta³ zaimplementowany dla ró¿nych systemów i jest stosowanyjako jedyna us³uga uwierzytelniania w sieciach rozproszonych
[ Pobierz całość w formacie PDF ]