Реализация Kerberos в ОС Windows Server 2003

Клиент Kerberos встроен во все ОС Windows семейства NT5, а реализа- ция KDC — во все серверные версии NT5. Однако изначально реализация Kerberos не рассматривалась Microsoft как самостоятельное решение (а лишь только как средство аутентификации в AD), поэтому в стандартной поставке Windows отсутствуют утилиты для работы с Kerberos напрямую. Некоторые возможности предоставляют инструменты из пакетов Support Tools и Resource Kit.

Служба KDC активизируется в серверной ОС только при повышении роли сервера до контроллера домена AD. Как уже отмечалось, контроллер до-

мена AD — это KDC и LDAP-серверы, плюс некоторые утилиты администри- рования этих серверов. Сущность Kerberos создается параллельно с созданием учетной записи пользователя, при этом происходит прямое отображение име- ни пользователя в сущность Kerberos (пользователю user домена example.com будет сопоставлена сущность «user@EXAMPLE.COM»).

Сложнее обстоит ситуация с учетными записями сервисов. Поскольку имя пользователя Windows не может содержать символ «/», то прямого соот- ветствия быть не может. Для разрешения этой проблемы в схеме каталога оп- ределен специальный многозначный атрибут — servicePrincipalName. Минус заключается в том, что все эти сущности Kerberos используют один и тот же ключ.

Для обеспечения взаимодействия с Unix-системами пакет Windows Sup- port tools содержит утилиту для создания сущностей Kerberos и экспортирова-

ния  их  ключей в  виде  keytab-файла. Данная утилита обладает достаточно большим количеством параметров, рассмотрим те из них, которые необходи-

мы при создании keytab-файла.

Вызов утилиты будет иметь вид:

ktpass –princ <сущность>  -crypto des-cbc-md5 +desOnly

–out <keytab-файл> +rndPass -mapuser <user> -mapop set

Ниже приведены комментарии по каждому из параметров:

-princ <сущность> — задает сущность Kerberos;

-crypto — задает, для какой криптосистемы следует генерировать ключ (в на- стоящее время реализации от Microsoft и MIT пересекаются только по режиму шифрования des-cbc-md5);

+desOnly — указывает, что в базе KDC должен генерироваться ключ только

для алгоритма DES;

-out <keytab файл> — имя keytab-файла;

+rndPass — генерация случайного ключа;

-mapuser <user> — указывает, с каким пользователем AD связать данную сущ-

ность Kerberos;

-mapop set — указывает, что необходимо заменить сущность по умолчанию (а не добавить к списку servicePrincipalName).

Для мониторинга кэша билетов Kerberos используется утилита kerbtray

из пакета Windows Resource Kit. После запуска эта утилита размещает свою иконку в системном трее, и по двойному нажатию левой клавиши мыши вы-

водит на экран окно со списком билетов пользователя и информации в них.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий