مقاله مزایای Kerberos

مزایای Kerberos

مقدمه

اعتبار سنجی در ویندوز ۲۰۰۰

مزایای اعتبار سنجی Kerberos

استانداردهای اعتبارسنجی Kerberos

نگاه كلی به پروتكل Kerberos

مفاهیم پایه

اعتبار سنج‌ها (Authenticators)

Key Distribution Center

بلیط های نشست (Session Tickets)

بلیط هایی برای اعطای بلیط

سرویس های ارائه شده توسط Key Distribution Center

اعتبار سنجی بین محدوده ای

زیر پروتكل‌ها

TGS Exchange

CS Exchange

Key Distribution Center

Kerberos Tray

مقدمه

Kerberos نسخه ۵، پروتكل اعتبار سنجی پیش فرض شبكه برای ویندوز ۲۰۰۰ است. Kerberos پروتكل جدیدی نیست كه مایكروسافت اختراع كرده باشد، بلكه از سال‌ها قبل در دنیای یونیكس مورد استفاده قرار گرفته است.

مایكروسافت اعتبار سنجی شبكه‌ای Kerberos را در ویندوز ۲۰۰۰ برای بالا بردن امنیت پیاده سازی كرده است، زیرا سرویس ها و سرورهای شبكه باید بدانند كه یك سرویس گیرنده كه درخواست اجازه دستیابی می كند واقعاً یك سرویس گیرنده معتبر است. Kerberos بر پایه ticket (بلیط)هایی كه شامل هویت سرویس گیرنده كه با كلیدهای مشترك رمزنگاری شده است، استوار می شود. Kerberos v5 بهبودهای زیر را نسبت به نسخه‌های قبلی Kerberos دارد:

  • ارسال اعتبارسنجی: امكان می دهد كه درخواست برای سرویس را از طرف یك كاربر به ارائه كننده سرویس قابل اطمینان دیگر محول كنیم.
  • سیستم های رمزنگاری قابل جایگزینی: از چندین متد رمزنگاری پشتیبانی می كند. نسخه‌های قبلی Kerberos، فقط از رمزنگاری DES پشتیبانی می كردند.
  • كلیدهای زیر نشست (subsession): به client و سرور امكان می دهد تا یك كلید زیر نشست كوتاه مدت را برای یك بار استفاده برای تبادل های نشست مورد مذاكره قرار دهند.
  • زمان دوام بیشتر برای بلیط: حداكثر زمان بلیط در Kerberos v4، ۲۵/۲۱ ساعت بود. Kerberos v5 اجازه می دهد كه بلیط ماه‌ها دوام بیاورد.

اعتبار سنجی در ویندوز ۲۰۰۰

ویندوز ۲۰۰۰ برای اعتبار سنجی هویت كاربر، پنج روش دارد:

  • Windows NT LAN Manager (NTLM)
  • Kerberos v5
  • Distributed Password Authentication (DPA)
  • Extensible Authentication Protocol (EAP)
  • Secure Channel (Schannel)

ویندوز ۲۰۰۰، فقط از NTLM و Kerberos برای اعتبار سنجی شبكه ای استفاده می كند و سه پروتكل دیگر برای اعتبارسنجی در اتصال‌های شماره گیری یا اینترنت مورد استفاده قرار می گیرند.

ویندوز NT 4.0 از (NTLM) Windows NT LAN manager به عنوان پروتكل اعتبار سنجی شبكه ای پیش فرض استفاده می كند. به این دلیل NTLM هنوز در ویندوز ۲۰۰۰ وجود دارد تا سازگاری با نسخه های قبلی سیستم عامل های مایكروسافت حفظ شود. NTLM همچنین برای اعتبار سنجی logon به كامپیوترهای مستقل ویندوز ۲۰۰۰ به كار می رود. Kerberos، اعتبار سنجی شبكه ای پیش فرض برای ویندوز ۲۰۰۰ است.

Kerberos پروتكل اعتبارسنجی پر استفاده ای است كه بر یك استاندارد باز بنا نهاده شده است. تمام كامپیوترهای ویندوز ۲۰۰۰ از Kerberos v5 در محیط شبكه ای استفاده می كنند، به غیر از شرایط زیر:

  • كامپیوترهای ویندوز ۲۰۰۰ وقتی كه به سرورهای ویندوز NT اعتبار سنجی می شوند از NTLM استفاده می كنند.
  • وقتی كه كامپیوترهای ویندوز ۲۰۰۰ به منابع domainهای ویندوز NT 4.0 دستیابی پیدا می كنند از NTLM استفاده می كنند.
  • وقتی كه كنترل كننده های domain ویندوز ۲۰۰۰، clientهای ویندوز NT 4.0 را اعتبار سنجی می كنند از NTLM استفاده می كنند.
  • Login كردن به صورت محلی به یك كنترل كننده domain ویندوز ۲۰۰۰٫
  • ویندوز ۲۰۰۰٫

(DPA) Distributed Password Authentication یك پروتكل اعتبارسنجی است كه روی اینترنت به كار می رود تا به كاربران امكان دهد تا از یك كلمه عبور برای اتصال به هر سایت اینترنتی كه به یك سازمان عضویت متعلق است، استفاده كنند. DPA توسط ویندوز ۲۰۰۰ پشتیبانی شده است ولی به همراه آن ارائه نشده است. شما باید PDA را به صورت جداگانه و به صورت یك محصول اضافی بخرید.

خرید فایل