[ Pobierz całość w formacie PDF ]
.Serwer zatwierdza biletsprawdzaj¹c zawartoœæ rozszyfrowanej wiadomoœci.Serwer zatwierdzania musinale¿eæ do tej samej dziedziny, co centrum dystrybucji kluczy, z któregootrzymuje bilet dostêpu.Zaufanie przechodnie (Transitive Trusts)Transakcje Kerberos w Windows 2000 s¹ okreœlane mianem przechodnich, gdy¿centrum dystrybucji kluczy w zaufanych domenach wspó³pracuj¹ ze sob¹.Relacjezaufania w klasycznym systemie NT mog³y byæ ustanawiane tylko pomiêdzy parami wdomenie, gdy¿ baza danych SAM narzuca³a pewne ograniczenia.W systemie Kerberosklasyczne relacje zaufania mog¹ zostaæ rozszerzone na zdalne domeny.Na przyk³ad za³Ã³¿my, ¿e domena B ufa domenie A, a domena C ufa domenie B.Wklasycznym systemie NT administratorzy w domenie C nie mogli do lokalnej listydostêpu dodawaæ u¿ytkowników i grup z domeny A.W Windows 2000 u¿ytkownicy igrupy wszystkich trzech domen mog¹ byæ wzajemnie dodawani do lokalnych listdostêpu we wszystkich domenach.Poziom skomplikowania relacji zaufania w klasycznym systemie NT zawszewywo³ywa³ ból g³owy u administratorów.W wiêkszoœci biur administratorów mo¿naby³o znaleŸæ olbrzymie, kolorowe diagramy przedstawiaj¹ce wzajemne relacjepomiêdzy serwerami.W³aœnie w oparciu o te diagramy administratorzy tworzylinowe grupy i przypisywali im prawa dostêpu.Korzystanie z systemu Kerberos nieupowa¿nia oczywiœcie do wyrzucenia owych diagramów, lecz z pewnoœci¹ znacznieje upraszcza, dziêki czemu zaczynaj¹ one przypominaæ w koñcu diagramyin¿ynierskie, a nie ilustracje Dr Seuss.Konto KRBTGT (KRBTGT Account)Kerberos u¿ywa specjalnego identyfikatora do rozró¿niania biletów przyznanychprzez centrum dystrybucji kluczy w ró¿nych dziedzinach.Identyfikator jestkombinacj¹ nazwy dziedziny i has³a zwi¹zanego ze specjalnym kontem nosz¹cymnazwê krbtgt.Centrum dystrybucji u¿ywa has³a krbtgt do szyfrowania numerówprzyznawanych wiadomoœciom.Zaszyfrowane numery s¹ bardzo trudne doprzechwycenia albo wykonania kopii biletu, gdy¿ klucz krbtgt jest znany tylko woryginalnej domenie.Konto krbtgt jest tworzone automatycznie, gdy pierwszy serwer w domenie jestpromowany do kontrolera domeny.Konto nie mo¿e zostaæ usuniête, a jego nazwanie mo¿e zostaæ zmieniona.Mo¿esz zmieniæ has³o, lecz nie jest to zalecane.Zmiana has³a uniewa¿ni wszystkie zaleg³e bilety, w zwi¹zku z czym wymusi naklientach ponowne staranie siê o przyznanie biletu w centrum dystrybucji.U¿ytkownik nie zauwa¿a przebiegu tej operacji, nie ma równie¿ ¿adnych przerw wdzia³aniu us³ug.Jedynym problemem zmiany has³a krbtgt jest fakt, ¿e znaszhas³o, a jeœli Ty je znasz, to ktoœ inny te¿ mo¿e je poznaæ.Sytuacja ta mo¿espowodowaæ niepo¿¹dane rezultaty z³amania zabezpieczeñ systemowych.Szczegó³y biletu KerberosaIstniej¹ dwa typy biletów Kerberos: bilet TGT (ticket-garnting ticket) orazbilet standardowy.Oba bilety posiadaj¹ tak¹ sama strukturê.Jedyna ró¿nicapolega na sposobie ich u¿ywania.Bilet TGT jest wydawany podczas wymiany us³ugiuwierzytelniania, natomiast bilet standardowy jest wydawany podczas wymianyus³ugi przyznawania biletów.Oba typy biletów sk³adaj¹ siê z czêœci czystego tekstu i czêœci zaszyfrowanej.Czysty tekst zawiera takie elementy, jak:Numer wersji biletu.Windows 2000 u¿ywa Kerberos wersji 5.Nazwa serwera zatwierdzania.Jest to nazwa serwera, do którego u¿ytkownik chceuzyskaæ prawo dostêpu.W Windows 2000 jest to nazwa komputera NetBIOS, któradubluje siê z nazw¹ hosta TCP/IP.Dziedzina serwera zatwierdzania.Jest to nazwa dziedziny Kerberos (domenyWindows 2000), która zawiera serwer zatwierdzania.Pole to jest potrzebne, gdy¿pryncypium zabezpieczenia mo¿e byæ w innej domenie ni¿ serwer, do któregopróbuje uzyskaæ dostêp.Elementy czêœci zaszyfrowanej to:Znaczniki.Zbiór znaczników przypisanych przez centrum dystrybucji okreœlasposób, w jaki bilet mo¿e byæ u¿ywany.Obejmuje to pozwolenie przekazaniabiletu do innej dziedziny, dziêki czemu u¿ytkownik znajduj¹cy siê w jednejdomenie mo¿e uzyskaæ dostêp do serwera znajduj¹cego siê w zaufanej domenie.Centrum dystrybucji mo¿e równie¿ okreœliæ znacznik, który upowa¿nia serwer dou¿ywania go jako serwera proxy podczas uzyskiwania dostêpu do innego serwera.W Windows 2000 operacja taka nosi nazwê delegacji zaufania.Klucz sesji.Jest to klucz wygenerowany przez centrum dystrybucji podczastworzenia biletu
[ Pobierz całość w formacie PDF ]