Проверка подлинности
В процессе проверки подлинности подтверждается личность пользователя, пытающегося войти в домен или получить доступ к сетевым ресурсам. Проверка подлинности Windows 2000 разрешает разовый вход в систему для всех сетевых ресурсов. В этом случае пользователь входит в домен один раз с одним паролем или смарт-картой и проходит проверку подлинности для всех компьютеров домена.
Проверка подлинности – это процесс проверки регистрационных сведений, предоставленных пользователем. Имя пользователя и пароль проверяются по списку пользователей, которым разрешен доступ в систему. Если данные обнаружены, пользователю предоставляется доступ, определяемый набором соответствующих разрешений. При входе пользователя в компьютер, на котором выполняется Windows 2000 Professional, проверка подлинности осуществляется этой рабочей станцией. Если пользователь входит в домен на компьютере, на котором выполняется Windows 2000 Server, проверка подлинности может быть выполнена любым сервером в этом домене. Проверка подлинности является основным аспектом безопасности системы.
Успешная проверка подлинности пользователя в рабочей среде Windows 2000 состоит из двух разных процессов: в процессе интерактивного входа производится подтверждение соответствия пользователя учетной записи домена или локального компьютера, а в процессе определения подлинности сети производится подтверждение подлинности пользователя любым сетевым ресурсам, к которым пытается обратиться этот пользователь.
Типы проверки подлинности
В Windows 2000 поддерживается несколько стандартных типов проверки подлинности. В процессе проверки подлинности Windows 2000 использует различные типы проверки, в зависимости от различных факторов. В Windows 2000 поддерживаются следующие типы проверки подлинности.
| Тип проверки подлинности | Описание |
| Проверка подлинности Kerberos V5 | Используется для пароля или смарт-карты в процессе интерактивного входа. Также является методом определения подлинности сети, используемым по умолчанию для служб. |
| Проверка подлинности протоколов SSL (Secure Sockets Layer) и TLS (Transport Layer Security) | Используется при попытке пользователя получить доступ к безопасному веб-серверу. |
| Проверка подлинности NTLM | Используется, если клиент или сервер работают в предыдущей версии Windows. |
Проверка подлинности Kerberos V5
Kerberos V5 стандартный протокол безопасности Интернета для управления проверкой подлинности пользователей или систем. В соответствии с Kerberos V5 пароли пересылаются по сетевым линиям в зашифрованном виде. Протокол Kerberos V5 подтверждает подлинность и пользователя, и сетевых служб. Такая двойная проверка называется взаимной проверкой.
Описание работы Kerberos V5
Механизм проверки подлинности Kerberos V5 выдает билеты (набор идентификационных данных для системы безопасности, выданных контроллером домена с целью проверки подлинности пользователя.) для доступа к сетевым службам. В Windows 2000 используются билеты двух типов: билеты TGT и билеты службы (программа или процесс, выполняющий конкретную системную функцию по поддержке других программ, особенно на низком (близком к аппаратному) уровне. Если доступ к службам осуществляется по сети, они могут быть опубликованы в Active Directory, что упрощает их администрирование и использование. Примеры служб Windows 2000: диспетчер учетных записей безопасности, служба репликации файлов, служба маршрутизации и удаленного доступа). Эти билеты содержат зашифрованные данные, включая зашифрованный пароль, подтверждающий подлинность пользователя для запрашиваемой службы. Кроме ввода пароля или учетных данных смарт-карты, весь процесс проверки подлинности невидим для пользователя.
Важной службой Kerberos V5 является центр распространения ключей (KDC). KDC работает на каждом контроллере домена как часть Active Directory, в которой хранятся все пароли клиентов и другие сведения об учетной записи.
Процесс проверки подлинности Kerberos V5 состоит в следующем:
1. Пользователь системы-клиента с помощью пароля или смарт-карты проходит проверку подлинности для KDC.
2. KDC выдает клиенту особый билет TGT. Клиентская система с помощью билета TGT получает доступ к службе TGS, которая является частью механизма проверки подлинности Kerberos V5 на контроллере домена.
3. Затем TGS выдает клиенту билет службы.
4. Клиент представляет этот билет запрошенной сетевой службе. Билет службы подтверждает подлинность пользователя для службы и наоборот.
Службы Kerberos V5 устанавливаются на каждый контроллер домена, а клиент Kerberos устанавливается на каждую рабочую станцию и сервер Windows 2000.
Каждый контроллер домена выполняет роль центра распространения ключей. Система Windows 2000 использует поиск службы формирования имен узлов (DNS), чтобы найти ближайший доступный контроллер домена. Этот контроллер домена затем используется в качестве основного центра распространения ключей для данного пользователя в течение его сеанса. Если основной KDC становится недоступен, система Windows 2000 находит другой KDC, предоставляющий проверку подлинности.
Делегирование проверки подлинности является привилегией, которая может быть предоставлена пользователю или учетной записи компьютера администратором. По умолчанию эта привилегия назначается только администраторам. Эта привилегия должна назначаться выборочно, только службам, которым можно доверять.
В приложении, состоящем из нескольких уровней, пользователь проходит проверку подлинности для службы среднего уровня. Служба среднего уровня проходит проверку подлинности для сервера данных от имени пользователя.
Делегирование зависит от того, является ли служба среднего уровня доверенной для делегирования. Доверенная для делегирования означает, что служба может олицетворить пользователя для использования других сетевых служб.
В Windows 2000 поддерживаются два типа взаимодействия Kerberos V5.
Между доменом и сферой Kerberos на основе MIT могут быть установлены доверительные отношения. Это означает, что клиент в сфере Kerberos может пройти проверку подлинности в домене Active Directory для доступа к сетевым ресурсам этого домена.
Внутри домена клиенты UNIX могут иметь учетные записи Active Directory и таким образом проходить проверку подлинности на контроллере домена.
В пользовательском интерфейсе редактора групповой политики, используемого для изменения политики Kerberos отдельных учетных записей пользователей и групп, билет TGT называется билетом пользователя.
Проверка подлинности NTLM
В Windows 2000 NTLM используется как протокол проверки подлинности для транзакций между двумя компьютерами в домене, если один из них или оба работают под управлением Windows NT 4.0 или более ранней.
Windows 2000 по умолчанию устанавливается в смешанном режиме параметров сети. Смешанный режим параметров сети использует любую комбинацию Windows NT 4.0 и Windows 2000. Если смешанный режим не установлен, можно отключить проверку подлинности NTLM, переключившись в основной режим на контроллере домена.
Протокол NTML используется в качестве механизма проверки подлинности, например при следующих конфигурациях:
проверка подлинности клиента Windows 2000 Professional в контроллере домена Windows NT 4.0;
проверка подлинности клиента рабочей станции Windows NT 4.0 в контроллере домена Windows 2000;
проверка подлинности клиента рабочей станции Windows NT 4.0 в контроллере домена Windows NT 4.0;
проверка подлинности пользователей домена Windows NT 4.0 в домене Windows 2000.
Кроме того, протокол проверки подлинности NTML используется для компьютеров, не входящих в домен, таких как независимые серверы и рабочие группы.
Дата добавления: 2017-11-04; просмотров: 377;