Протокол
Kerberos и авторизация Windows 2000
Имперсонализация Windows
2000 требует, чтобы локальный администратор безопасности (LSA) сервера мог безопасно
получать SID пользователя и список идентификаторов безопасности членов групп.
Идентификаторы безопасности
генерируются системой безопасности домена
и используются в LSA при создании маркеров доступа для имперсонализации. После
создания соединения связанный с ним поток имперсонализирует зарегистрировавшегося
пользователя, после чего Windows 2000 сравнивает маркер доступа клиента с ACL
объекта, к которому пользователь пытается получить доступ. При аутентификации
NTLM идентификаторы безопасности пользователя и группы передаются с помощью
защищенного канала NetLogon прямо с контроллера домена или любого доверенного
домена. При использовании протокола Kerberos идентификаторы безопасности пользователей
и групп передаются в составе данных авторизации билета сеанса Kerberos.
Данные авторизации, находящиеся
в билете Kerberos, полученном из KDC, содержат список идентификаторов безопасности
пользователей и идентификаторов, определяющих членство в группах. Локальному
администратору безопасности данные авторизации нужны для поддержки имперсонализации
поставщика безопасности Kerberos.
Протокол Kerberos позволяет
обращаться к данным авторизации билета Keiberos, которые определяются приложением.
Они полностью соответствуют RFC 1510. Кроме того, их структура преобразована
для уменьшения проблем, возникающих при совместной работе с другими операционными
системами.
При первоначальной регистрации
пользователя в домене КОС помещает в ТОТ данные авторизации, включающие идентификаторы
безопасности пользователей или групп
домена учетных записей
(account
domain). Членство в группах также определяется при первоначальной регистрации.
После этого КОС копирует данные авторизации из ТОТ в билеты сеанса, применяемые
для аутентификации серверов приложений. В сети с несколькими доменами КОС, управляющий
запросами на получение билетов сеанса, может добавлять в данные авторизации
дополнительные группы целевого домена, к которым может принадлежать пользователь.
По мере развития ОС Windows
2000 формат данных авторизации может изменяться. Но в любом случае эти данные
будут содержать список идентификаторов безопасности, предназначенных для поддержки
аутентификации Kerberos в многоплатформных системах, а также подпись, обеспечивающую
целостность данных и устанавливаемую КОС.
Содержание раздела
|