AP_REP5. Serverl отправляет от имени пользователя сообщение KRBJTGSREQ на KDC для получения билета службы для доступа к Server2 вконтексте безопасности пользователя.6. КОС отправляет сообщение KRB TGS_REP, содержащее билетслужбы, разрешающий пользователю доступ на Server2.7. Serverl отправляет билет службы Server2 в сообщении KRB_AP_REQ.S. Server2 откликается на запрос аутентификации сообщением KRB_AP_REP, подтверждающим правильность аутентификации. ТеперьServerl имеет доступ к службам Server2 на уровне безопасностирядового пользователя.Выработка решенияПроектируя сеть для поддержки аутентификации Kerberos, надо учитывать следующие аспекты.• Аутентификация Kerberos рассчитана на то, что в сети доступныконтроллеры Windows 2000. Чтобы гарантировать возможностьаутентификации, каждому сайту должен быть доступен минимумодин контроллер домена.• Чтобы найти контроллеры Windows 2000 для служб аутентификации Kerberos, должны быть доступны службы DNS. Пытаясь подключиться к KDC, клиентский компьютер с Windows 2000 запрашивает DNS для получения записи ресурса _Kerberos. Если службы DNS недоступны, клиент не сможет найти КОС для аутентификации.• Если домен Windows 2000 работает в основном режиме и в лесунесколько доменов, аутентифицирующийся контроллер долженсвязываться с сервером ГК для перечисления членов универсальной группы. Сервер ГК должен быть на каждом удаленном сайте.• Записи ресурсов SRV сервера ГК хранятся в зоне _msdcs.forestrootdomain,где forestrootdomain — переменная, представляющая имягде forestrootdomain — переменная, представляющая имя
Опубликовал vovan666
March 26 2013 13:22:39 ·
0 Комментариев ·
3994 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
