| Применение
Kerberos в сетях Windows 2000/Server 2003
Аутентификация
Kerberos используется многими службами домена Active Directory. Интерфейс SSPI
применяется для аутентификации в большинстве системных служб, поэтому их перевод
с аутентификации NTLM на Kerberos требует минимальных усилий. Более сложные изменения
необходимы на сервере SMB, который не использовал SSPI до версии Windows 2000.
Многие новые распределенные службы Windows 2000 используют аутентификацию Kerberos.
Примеры областей применения аутентификации Kerberos в Windows 2000/Server 2003:
- аутентификация в Active Directory с применением
LDAP для запросов или управления каталогом;
- протокол
удаленного доступа к файлам CIFS/SMB;
- управление
распределенной файловой системой DFS;
- защищенное
обновление адресов DNS;
- службы печати;
- необязательная
взаимная аутентификация IPSec-хостов при работе протоколов ISAKMP/Oakley;
- запросы
резервирования для службы качества обслуживания (Quality of Service);
- аутентификация
интрасети в службах Internet Information Services;
- аутентификация
запросов сертификата открытого ключа, приходящих от пользователей и компьютеров
домена, в службах Certificate Services;
- удаленное
управление сервером или рабочей станцией с помощью аутентифицированного RPC и
DCOM.
Это первый шаг к основной цели, поставленной
в Windows 2000, — полному исключению аутентификации NTLM в компьютерных сетях,
основанных на этой операционной системе. Уровень сеанса (УС).
УС обеспечивает управление диалогом между обслуживаемыми процессами на уровне
представления. Сеансовое соединение сначала должно быть установлено, а параметры
соединения оговорены путем обмена управляющей информацией. УС предоставляет услугу
синхронизации для преодоления любых обнаруженных ошибок. Это делается следующим
образом: метки синхронизации вставляются в поток данных пользователями услуги
сеанса. Если обнаружена ошибка, сеансовое соединение должно быть возвращено в
определенное состояние, пользователи услуги должны вернуться в установленную точку
диалогового потока информации, сбросить часть переданных данных и затем восстановить
передачу, начиная с этой точки.
Транспортный уровень (ТУ). ТУ представляет
сеансовому уровню услугу в виде надежного и прозрачного механизма передачи данных
(вне зависимости от вида реальной сети) между вершинами сети.
Сетевой уровень
(СУ). СУ представляет ТУ услуги связи. СУ определяет маршрут в сети. Организует
сетевой обмен (протокол IP). Управляет потоками в сети.
Канальный уровень.
Представляет СУ услуги канала. Эта услуга состоит в безошибочности последовательной
передачи блоков данных по каналу в сети. На этом уровне реализуется синхронизация,
порядок блоков, обнаружение и исправление ошибок, линейное шифрование.
|