Пятница, 29.03.2024, 11:25
Приветствую Вас Гость | RSS

Я - за павсимесную и всиоблемущюю паддершку Аброзования!

Меню сайта
Форма входа
Категории раздела
Сети [14]
Сети
Windows сервер [14]
Сервера Windows. Администрирование
Active Directory [17]
Опрос
Как вы относетесь к порнографии
Всего ответов: 778
Облако тегов
апокриф библия история история религии маска сети настройка IP-адреса НОВЫЙ ЗАВЕТ Альбион гастарбайтер Гражданин и ты Брут Митридат политическая реклама Понт воскрешение гармония Дух плоть праведная плоть канон Аид гомер Мифология моментальность дружба женщина мужчина отношение VPN dns корневой домен DNS клиент FQDN HOSTS пространство имен разрешение имен MX зона DNS корневые Мастер установки Active Directory глобальный каталог раздел домена Раздел конфигурации Раздел схемы GUID.контроллер домена.Серверы плац Внутрисайтовая репликация межсайтовая репликация лес Домен Планирование Active Directory подразделение DNS-сервера DnsCmd DomainDnsZones ForestDnsZones SUPTOOLS.MSI настройка зоны DNS область распространения зоны DNS SOA Primary Name Server Start of Authority Transfer Zone зонная передача Начальная запись зоны DNS Основной сервер DNS передача зоны DNS nslookup дерево доверие доверительные отношения ADSL DMT ISP POTS xDSL Ntds.dit Active Directory.Зоны прямого просм Netlogon SVR Sysvol _msdcs _saites _tcp _udp Dcdiag Dcpromo.log Dcpromos.log Dcpromoui.log Netdiag Ntdsutil консоль ммс панель задач оснастка авторский параметры пользовательский расширение режим консоли
AdSense
Счетчики
PR-CY.ru Каталог@Mail.ru - каталог ресурсов интернет реклама в интернете, реклама сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей

Главная » Статьи » Windows сервер

О протоколе Kerberos и не только. Часть II
Продолжение. Начало смотрите здесь.

          Протокол Kerberos это протокол аутентификации, который встроен в Windows Server 2000/2003 по умолчанию, то есть является основным механизмом аутентификации в этих операционных системах. 
          Само название Kerberos взято из древнегреческой  мифологии, и это имя принадлежало трехголовому страшному псу, охранявший вход и естественно выход из подземного царства Аида. Оттуда же и происходит выражение "Злой как Цербер".
          Так вот данный протокол был разработан еще в начале 80-х годов в Массачусетском Технологическом институте. В настоящие время существует несколько версий данного протокола. В Windows Server 2003 используется пятая версия данного протокола.
   
Так как мы из первой части данной темы уже знаем что такое аутентификация, то отметим только следующее. На протяжении времени человечество разработала много способов проверки подлинности личности. По большому эти способы можно разделить на две группы.

  • проверка личности на факт полного соответствия некоторым индивидуальным характеристикам личности, такие как отпечатки пальцев, снимок радужек глаз, код ДНК ну и т.д. Это конечно крутые меры проверки подлинности личности, но для того что бы их внедрить в действие нам нужна специальная аппаратура которая будет это делать.
  • проверка личности на факт знания некоторого секрета, например пароли. Под секретом надо понимать в данном случае, некая символьная или цифровая последовательность, воспроизведение (знание)  которой позволяет судить о подлинности личности, а в нашем случае, подлинности пользователя. Такие методы более просты в реализации чем описанные выше, и поэтому получили наиболее широкое распространение.   
Протокол Kerberos относится ко второй группе.

Поговорим о проверки личности на факт знания некого секрета. При реализации этого метода, сама логика процесса продиктовала необходимость решения следующих вопросов, а именно:

  • каким образом клиент будет получать информацию о секрете?
  • каким образом клиент будет предоставлять серверу аутентификации информацию о своих полномочиях?
  • каким образом сам клиент будет проверять полномочия сервера?
  • как сам сервер сможет удостоверится, что полномочия полученные от клиента поделенные?
  • как будет обеспечиваться безопасность при диалоге сервера с клиентом и наоборот, в ходе проверки полномочий?
  • каким образом будет исключена возможность использования перехваченных пакетов?

В самом процессе аутентификации участвуют три стороны а именно: 

  • клиент, который выступает в роли просителя на соединение и предоставляющий в этом запросе сведения о своих полномочиях. В качестве клиента может рассматриваться любой участник системы безопасности. Клиент может подключатся к неограниченному числу различных серверов, используя для аутентификации один "секрет". Об этом мы уже говорили когда рассматривали преимущества Active Directory, в предыдущих темах.  
  • сервер, предоставляющий доступ к ресурсу и проверяющий полномочия клиента. К серверу может подключатся неограниченное количество клиентов, каждый из которых предоставляет информацию о своих полномочиях и получает доступ через собственный "секрет". если еще проще то этот сервер гарантирует, что только должным образом заверенные и уполномоченные пользователи могут получать доступ к ресурсу.
  • сервер, хранящий информацию о секретах всех его клиентах. Если пользоваться терминологией Kerberos, то этот сервер получил название  - Центра Распространения Ключей или KDS - Key Distribution Center. Как раз вот этот KDS и берет на себя роль посредника в общение между серверами с их клиентами. KDC - Key Distribution Center, служит центральным местом хранения пользовательской информации и главной службой, подтверждающей подлинность пользователей. 

Протокол Kerberos представляет собой набор методов идентификации и проверки подлинности партнеров по обмену информации (рабочих станций, пользователей и серверов) в открытой, незащищенной сети. 

Запомните: Протокол Kerberos определяет то,  как  эти  три  компонента  взаимодействуют  между  собой.

Обратите внимание - процесс идентификации не зависит от аутентификации, которая выполняется механизмами операционной системы, не основывается в принятие решений на адресах хостов в сети, и не предполагает обязательную организацию физической безопасности всех хостов. Скажу еще больше - допускается, что пакеты информации, переданные по сети, могут быть изменены, прочитаны, и переданы в любой момент времени.  

Примечание: Для тех кто не силен в сетевых технологиях напомню, что в сети информация передается в виде пакетов или их еще называют фреймами. На сайте есть кажись статья про это. Если нет...извентиляюсь... то напомните я объясню доступно, на пальцах сей процесс.

Однако следует отметить, что большинство приложений пользуются услугами протокола Kerberos, только при создании сеансов передачи потоков информации. При этом предполагается что последующие несанкционированное разрушение потока данных невозможна. Поэтому в данном случае применяется прямое доверие, основанное на адресе хоста. Kerberos выполняет аутентификацию как доверенная служба третьей стороны, используя шифрование с помощи общего секретного ключа - shared secret key.

Я тут написал написал, но думаю что не все понятно из написанного выше....расширим это, может станет понятнее.

 Итак повторюсь  - Протокол Kerberos определяет то,  как  взаимодействуют  между  собой клиент, сервер управления сетевыми ресурсами и Центра Распространения Ключей или KDS - Key Distribution Center.

Эти правила или лучше скажем взаимодействия основаны  на  двух  ключевых  принципах.  

Прежде  всего, Kerberos работает, основываясь на предположении, что опознавательный трафик между рабочей станцией и сервером пересекает незащищенную сеть (ну так его сделали при рождении). Это означает, что никакой конфиденциальный информации опознавательный трафик никогда не посылается по сети открытым, незашифрованным текстом, а пользовательский пароль никогда не посылается по сети, даже в зашифрованной форме. 

Второй принцип  состоит в том,  что протокол Kerberos имеет  в своей  основе  опознавательную модель с общим секретом. В этой модели клиент и опознающий сервер владеют общим секретом, который неизвестен  кому-либо  еще.  В  большинстве  случаев  общий  секрет — это  пароль  пользователя. 

Когда  пользователь  входит  в  сеть,  (вводя, печатая пароль при входе) защищенную  протоколом Kerberos, пароль  пользователя используется  для шифрования  пакета  информации.  Данный пакет или пакеты (шифрованные паролем) посылаются на сервер,  сервер Kerberos получает этот пакет или пакеты,  он расшифровывает  информацию,  используя  копию  пароля,  хранящегося  на  сервере.  Если расшифровка прошла успешно, то  опознающий сервер  знает, что  пользователю известен общий секрет, и ему предоставляется соответствующий  доступ. 

Примечание.  Когда  пользователь  входит  в  систему,  он  обычно  впечатывает (набирает на клаве)  свой  пароль. Контроллер  домена  проверяет  точность  пароля.  Однако  поскольку Kerberos работает  в предположении, что сеть не защищена, то эта проверка делается без пересылки пароля по сети. 

Но вот тут возникает одна из проблем, а именно что и пользователь и сервер, управляющий сетевым ресурсом, должны иметь какой-либо способ владения (знание) этого  общего  секрета.
К примеру допустим пользователь захочет получить доступ к некоторому ресурсу на определенном сервере в котором он нуждается, то тогда  учетная запись пользователя может быть создана заранее на сервере с таким паролем, который знает только пользователь. Когда пользователь попытается обратиться к ресурсам на этом сервере, он может представить общий секрет (пароль) и получить доступ  к  ресурсу.  

Однако допустим  в нашей  корпоративной  среде (сети конторы)  могут  быть  тысячи  пользователей  и  сотни серверов.  Управление  различными  общими  секретами  всех  этих  пользователей  было  бы непрактичным. То есть, прописывать каждого на каждый сервер, ну и так далее (тут следует описание всяких трудностей для админа), морока однакож....  Но! Протокол Kerberos справляется с этой проблемой, используя центр распределения ключей (KDC - Key Distribution Center). Служба KDC выполняется как  служба  сервера  в сети (то есть она работает на сервере и когда надо, если к ней обращаются, вмешивается) и управляет  общими  секретами  всех пользователей  в  сети. KDC имеет  одну  центральную  базу данных  для  всех  учетных  записей  пользователей  нашей сети  и  хранит  общий  секрет  каждого пользователя (в форме одностороннего кэша пароля пользователя). Когда юзверю  требуется получить доступ к сети и некоторым сетевым ресурсам в котором он нуждается, служба KDC подтверждает, что пользователь знает общий секрет, а затем подтверждает подлинность пользователя. 

Важное примечание: В терминологии Kerberos центральным сервером, управляющим учетными записями пользователя, является служба KDC. В реализации Kerberos в сервере Windows Server 2003 этот сервер называется контроллером домена. То есть  - Каждый контроллер домена Active Directory является KDC. В Kerberos граница, определенная пользовательской базой данных, расположенной на одном KDC,  называется  областью (realm). В  терминологии Windows Server 2003 эта  граница называется доменом. 



Продолжение следует. 
                 


Категория: Windows сервер | Добавил: AlterEgo25 (21.09.2011)
Просмотров: 9286 | Комментарии: 2 | Рейтинг: 0.0/0
Всего комментариев: 2
1 adm_j  
0
Случайно наткнулся на сайт, прочитал все статьи. Спасибо за труд, очень познавательно. Хотел бы заметить что одна из последних статей по IT "Введение в IT безопасность. Некоторые команды и действия по обеспечению элементарной безопасности" не открывается sad
Так же хотелось бы чтобы появились статьи по безопасности, фаерволам, NAP и т.п. (уже на платформе 2008 сервера biggrin )
С уважением Сергей

2 AlterEgo25  
0
Спасибо Сергей за отзыв...дело в том что статья "Введение в IT безопасность.... не закончена...(все не соберусь продолжить...:D ...но может если читатели этого сайта потребуют...сделаю обязательно...это касается и этой статье на которой мы пишем комментарии...(ленивым стал..уЖасть)) что касается того что команды не открываются, то если есть вопросы задайте их на форуме...но детализируйте вопрос, что бы понять в чем причина...

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Подписатся
Подписаться на рассылку
"Active Directory - от простого к сложному."


 
Mail.Ru
Подписатся
Подписаться на:
Active Directory от простого к сложному | RSS
Имя:
E-mail

Посетите Каталог Maillist.ru.
Maillist.ru: Active Directory от простого к сложному
Поделись с другом
Поиск
Loading
Рейтинг чатов Поисковый каталог Эхо Ру счетчик посещений
счетчик посещений

Copyright MyCorp © 2024
Используются технологии uCoz