и штамп времени скрепляются цифровой подписью.3. КОС подтверждает достоверность запроса, проверяя сертификатпользователя и цифровую подпись в центре сертификации (ЦС),выдавшем сертификат.4. КОС просит Active Directory сопоставить сертификат в запросеPA_PK_AS_REQ с идентификатором безопасности (security identifier,SID), после чего КОС выдает ТОТ для этого SID.5. КОС отправляет ТОТ пользователю в модифицированном ответеPA__PK_AS_REP (Kerberos Authentication Service Response). В ответном сообщении сеансовый ключ зашифрован открытым ключом пользователя. Это гарантирует, что только этот пользовательсможет расшифровать сеансовый ключ.6. Пользователь расшифровывает сеансовый ключ закрытым ключом, размещенным на смарт-карте.Аутентификация с несколькими доменамиВ лесу часто бывает несколько доменов. При этом аутентификациявыполняется по билетам ТОТ, переадресации (билетам ТОТ для других доменов) и служб. Ниже показан типичный процесс получениядоступа к ресурсам другого домена (рис. 3-7).При попытке пользователя из домена west.microsoft.com получитьдоступ к общим сетевым ресурсам на компьютере srvl .east.microsoft.com,произойдет следующее.1. Пользователь отправляет из своего домена на КОС запрос KRB_TGS_REQ (Ticket Granting Service Request) для получения билетаслужбы для компьютера srvl.east.microsoft.com. Так как целевойкомпьютер расположен в другом домене, то принявший запросКОС проверяет доверительные отношения для этого домена. Поскольку между доменами west.microsoft.com и east.microsoft.
Опубликовал vovan666
March 26 2013 13:22:15 ·
0 Комментариев ·
3415 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
