r 01.05 (9)

[ Pobierz całość w formacie PDF ]
.Active Desktop w systemie Windows 2000 obs�uguje wiele danychuwierzytelniaj�cych dotycz�cych bezpiecze�stwa (security credentials), jakocz�� zabezpieczona danych konta u�ytkownika.Dane te (credentials) s�u��us�ugom uwierzytelniania w przedsi�biorstwie (enterprise authenticationservices), które do uwierzytelniania u�ytkownika w trybie online wykorzystuj�kontroler domeny.Zaawansowane serwery aplikacji mog� obs�ugiwa�uwierzytelnianie zintergrowane z systemem Windows 2000, wykorzystuj�c douwierzytelniania sieciowego Sieciowego interfejs Interfejs us�ugodawcyUs�ugodawcy zabezpiecze� Zabezpiecze� (Security Service Provider Interface).Zastosowanie danych uwierzytelniaj�cych protoko�u NTLMKlienci w systemie Windows 2000 wykorzystuj� protokó� uwierzytelniania(authentication protocol) NTLM do ��czenia si� z serwerami, w których pracuj�wcze�niejsze wersje systemu Windows NT.Uwierzytelnianie za pomoc� protoko�uNTLM stosuje si�, np.do po��czenia z udost�pnionymi na serwerze Windows NTplikami zdalnymi (remote file share) lub do po��czenia klienta Windows NT 4 zplikami udost�pnionymi w systemie Windows 2000.Dane uwierzytelniaj�ceprotoko�u NTLM (NTLM credentials) zawieraj� nazw� domeny, nazw� u�ytkownikaoraz zaszyfrowane has�o, wprowadzone w trakcie pierwszego logowania.Us�ugi zabezpiecze� (security services) kontrolera domeny (DC) pos�uguj� si�bezpieczn� kopi� danych uwierzytelniaj�cych u�ytkownika protoko�u NTLM w ActiveDirectory, aby u�y� ich do uwierzytelnienia za pomoc� protoko�u zabezpiecze�NTLM.Klienci systemu Windows 2000 wykorzystuj� dane uwierzytelniaj�ce(credentials) protoko�u NTLM wprowadzone w trakcie logowanie si� po stronieklienta, podczas ��czenia si� klienta z serwerem Windows NT, stosuj�cuwierzytelnianie za pomoc� protoko�u zabezpiecze� NTLM.Dla zachowaniazgodno�ci, obs�uga danych uwierzytelniaj�cych protoko�u NTLM przezzabezpieczenia systemu Windows 2000 jest taka sama, jak w przypadku systemuWindows NT 4.Zastosowanie danych uwierzytelniaj�cych w przypadku stosowania protoko�uKerberosUwierzytelnianie za pomoc� protoko�u zabezpiecze� Kerberos jest g�ównymsposobem uwierzytelniania dla domen systemu Windows 2000.Daneuwierzytelniaj�ce protoko�u Kerberos sk�adaj� si� z nazwy domeny, nazwyu�ytkownika (nazwy te mog� by� podane w formie stosowanej w Internecie, np.ianm@company.com) i has�a zaszyfrowanego w sposób w�a�ciwy dla protoko�uKerberos (Kerberos � style encrypted password).Podczas logowania u�ytkownikado systemu, Windows 2000 otrzymuje przynajmniej jeden bilet (ticket) protoko�uKerberos, aby po��czy� si� z us�ugami sieciowymi.Bilety (tickets) protoko�uzabezpiecze� Kerberos przedstawiaj� sieciowe dane uwierzytelniaj�ce (networkcredentials) przy uwierzytelnianiu na podstawie tego protoko�u.System Windows 2000 automatycznie zarz�dza pami�ci� podr�czn� biletów protoko�uKerberos (Kerberos ticket cache) dla po��cze� ze wszystkimi us�ugamisieciowymi.Bilety (tickets) maj� swoje okresy wa�no�ci (expiration time) i odczasu do czasu musz� by� uaktualniane.Us�ugodawca zabezpiecze� Kerberos izwi�zane z nim us�ugi u�ytkowe (application services) za�atwiaj� spraw�uniewa�niania i wznawiania biletów.Wi�kszo�� us�ug, takich jak us�ugaprzeadresowywania (redirector) w systemie plików, automatycznie aktualizujebilety sesji (session tickets).Regularne wznawianie biletów (ticket renewal)stanowi dodatkowe zabezpieczenie sesji dzi�ki okresowej zmianie klucza sesji.Zastosowanie par kluczy prywatny-publiczny i certyfikatów z par� kluczyprywatny-publicznyInternetowe dane uwierzytelniaj�ce w postaci par kluczy prywatny-publiczny icertyfikatów z par� kluczy prywatny-publiczny s� zarz�dzane przez u�ytkownika.Active Directory s�u�y do publikowania u�ytkownikom certyfikatów z kluczempublicznym.Natomiast do ich znajdowania u�ywa si� standardowych protoko�ówdost�pu do katalogu (standard directory access protocols).Klucze prywatne(private keys) i certyfikaty wydane u�ytkownikom (end users) przechowywane s� wmiejscach bezpiecznych, w systemie lokalnym lub na karcie elektronicznej (smartcard).Miejsca te s� znane jako magazyny chronione (Protected Store), a ichochron� zapewniaj� internetowe technologie zabezpiecze�.Implementacj� magazynu chronionego (Protected Store) oparto na architekturzeinterfejsu CryptoAPI dla systemu Windows NT.Interfejs CryptoAPI zawierafunkcje do zarz�dzania kluczami i pozosta�e, z zakresu kryptografii dotworzenia magazynów chronionych za pomoc� certyfikatów znajduj�cych si� wmagazynie certyfikatów (Certificate Store) [ Pobierz całość w formacie PDF ]

download | pobieranie | ebook | pdf | do ÂściÂągnięcia

Archiwum