[ Pobierz całość w formacie PDF ]
.Active Desktop w systemie Windows 2000 obs³uguje wiele danychuwierzytelniaj¹cych dotycz¹cych bezpieczeñstwa (security credentials), jakoczêœæ zabezpieczona danych konta u¿ytkownika.Dane te (credentials) s³u¿¹us³ugom uwierzytelniania w przedsiêbiorstwie (enterprise authenticationservices), które do uwierzytelniania u¿ytkownika w trybie online wykorzystuj¹kontroler domeny.Zaawansowane serwery aplikacji mog¹ obs³ugiwaæuwierzytelnianie zintergrowane z systemem Windows 2000, wykorzystuj¹c douwierzytelniania sieciowego Sieciowego interfejs Interfejs us³ugodawcyUs³ugodawcy zabezpieczeñ Zabezpieczeñ (Security Service Provider Interface).Zastosowanie danych uwierzytelniaj¹cych protoko³u NTLMKlienci w systemie Windows 2000 wykorzystuj¹ protokó³ uwierzytelniania(authentication protocol) NTLM do ³¹czenia siê z serwerami, w których pracuj¹wczeœniejsze wersje systemu Windows NT.Uwierzytelnianie za pomoc¹ protoko³uNTLM stosuje siê, np.do po³¹czenia z udostêpnionymi na serwerze Windows NTplikami zdalnymi (remote file share) lub do po³¹czenia klienta Windows NT 4 zplikami udostêpnionymi w systemie Windows 2000.Dane uwierzytelniaj¹ceprotoko³u NTLM (NTLM credentials) zawieraj¹ nazwê domeny, nazwê u¿ytkownikaoraz zaszyfrowane has³o, wprowadzone w trakcie pierwszego logowania.Us³ugi zabezpieczeñ (security services) kontrolera domeny (DC) pos³uguj¹ siêbezpieczn¹ kopi¹ danych uwierzytelniaj¹cych u¿ytkownika protoko³u NTLM w ActiveDirectory, aby u¿yæ ich do uwierzytelnienia za pomoc¹ protoko³u zabezpieczeñNTLM.Klienci systemu Windows 2000 wykorzystuj¹ dane uwierzytelniaj¹ce(credentials) protoko³u NTLM wprowadzone w trakcie logowanie siê po stronieklienta, podczas ³¹czenia siê klienta z serwerem Windows NT, stosuj¹cuwierzytelnianie za pomoc¹ protoko³u zabezpieczeñ NTLM.Dla zachowaniazgodnoœci, obs³uga danych uwierzytelniaj¹cych protoko³u NTLM przezzabezpieczenia systemu Windows 2000 jest taka sama, jak w przypadku systemuWindows NT 4.Zastosowanie danych uwierzytelniaj¹cych w przypadku stosowania protoko³uKerberosUwierzytelnianie za pomoc¹ protoko³u zabezpieczeñ Kerberos jest g³Ã³wnymsposobem uwierzytelniania dla domen systemu Windows 2000.Daneuwierzytelniaj¹ce protoko³u Kerberos sk³adaj¹ siê z nazwy domeny, nazwyu¿ytkownika (nazwy te mog¹ byæ podane w formie stosowanej w Internecie, np.ianm@company.com) i has³a zaszyfrowanego w sposób w³aœciwy dla protoko³uKerberos (Kerberos — style encrypted password).Podczas logowania u¿ytkownikado systemu, Windows 2000 otrzymuje przynajmniej jeden bilet (ticket) protoko³uKerberos, aby po³¹czyæ siê z us³ugami sieciowymi.Bilety (tickets) protoko³uzabezpieczeñ Kerberos przedstawiaj¹ sieciowe dane uwierzytelniaj¹ce (networkcredentials) przy uwierzytelnianiu na podstawie tego protoko³u.System Windows 2000 automatycznie zarz¹dza pamiêci¹ podrêczn¹ biletów protoko³uKerberos (Kerberos ticket cache) dla po³¹czeñ ze wszystkimi us³ugamisieciowymi.Bilety (tickets) maj¹ swoje okresy wa¿noœci (expiration time) i odczasu do czasu musz¹ byæ uaktualniane.Us³ugodawca zabezpieczeñ Kerberos izwi¹zane z nim us³ugi u¿ytkowe (application services) za³atwiaj¹ sprawêuniewa¿niania i wznawiania biletów.Wiêkszoœæ us³ug, takich jak us³ugaprzeadresowywania (redirector) w systemie plików, automatycznie aktualizujebilety sesji (session tickets).Regularne wznawianie biletów (ticket renewal)stanowi dodatkowe zabezpieczenie sesji dziêki okresowej zmianie klucza sesji.Zastosowanie par kluczy prywatny-publiczny i certyfikatów z par¹ kluczyprywatny-publicznyInternetowe dane uwierzytelniaj¹ce w postaci par kluczy prywatny-publiczny icertyfikatów z par¹ kluczy prywatny-publiczny s¹ zarz¹dzane przez u¿ytkownika.Active Directory s³u¿y do publikowania u¿ytkownikom certyfikatów z kluczempublicznym.Natomiast do ich znajdowania u¿ywa siê standardowych protoko³Ã³wdostêpu do katalogu (standard directory access protocols).Klucze prywatne(private keys) i certyfikaty wydane u¿ytkownikom (end users) przechowywane s¹ wmiejscach bezpiecznych, w systemie lokalnym lub na karcie elektronicznej (smartcard).Miejsca te s¹ znane jako magazyny chronione (Protected Store), a ichochronê zapewniaj¹ internetowe technologie zabezpieczeñ.Implementacjê magazynu chronionego (Protected Store) oparto na architekturzeinterfejsu CryptoAPI dla systemu Windows NT.Interfejs CryptoAPI zawierafunkcje do zarz¹dzania kluczami i pozosta³e, z zakresu kryptografii dotworzenia magazynów chronionych za pomoc¹ certyfikatów znajduj¹cych siê wmagazynie certyfikatów (Certificate Store)
[ Pobierz całość w formacie PDF ]