Применение Kerberos в сетях Windows 2000. Совместная работа средств обеспечения безопасности сети.
Аутентификация Kerberos используется многими службами домена Windows 2000. SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Kerberos требует минимальных усилий.
Более сложные изменения необходимы на сервере 8MB, который не использовал SSPI до версии Windows 2000. Многие новые распределенные службы Windows 2000 уже используют аутентификацию Kerberos. Примеры областей применения аутентификации Kerberos в Windows 2000:
- Аутентификация в Active Directory с применением LDAP для запросов или управления каталогом
- Протокол удаленного доступа к файлам CIFS/SMB
- Управление распределенной файловой системой DFS
- Защищенное обновление адресов DNS
- Служба печати
- Необязательная взаимная аутентификация IPSec-хостов в ISAKMP/Oakley
- Запросы резервирования для службы качества обслуживания (Quality of Service)
- Аутентификация интрасети в Internet Information Services
- Аутентификация запросов сертификата открытого ключа, приходящих от пользователей и компьютеров домена, в Microsoft Certificate Service
- Удаленное управление сервером или рабочей станцией с помощью аутентифицированного RPC и DCOM
Это первый шаг к основной цели, поставленной в Windows 2000, – полному исключению аутентификации NTLM в компьютерных сетях, основанных на этой операционной системе.
Совместная работа средств обеспечения безопасности сети
Домены Windows 2000 должны иметь возможность одновременно поддерживать клиентские компьютеры.и серверы, на которых работает программное обеспечение Windows NT 3.*-4.0, Windows 95/98, а также Windows 2000 Professional/Server. Для этого в Windows 2000 остается поддержка аутентификации NTLM, обеспечивающей совместимость с операционными системами более ранних версий (однако, обновленный клиент имеется только Для систем Windows NT 4.0).
Кроме того, в состав Windows 2000 входит обновленная версия (client extension) клиента распределенных систем (Distributed Systems Client) для Windows 9x. Эта версия реализует, в частности, некоторые преимущества от использования Active Directory и поддерживает расширенные возможности аутентификации по протоколу NTLM v.2; протокол Kerberos не поддерживается.
Совместная работа протокола Kerberos с ОС UNIX тестируется с помощью MIT КегЬ5 1.0 и дополнительных пакетов обновления. Компания CyberSafe и другие производители программного обеспечения, работающего с протоколом Kerberos, проводят независимое тестирование взаимодействия ОС UNIX и Windows 2000 с помощью протокола Keiberos. Основная цель такого взаимодействия – позволить клиентам, использующим SSPI и GSS-APIна UNIX, аутентифицироваться в серверах приложений Windows 2000,х поддерживающих Kerberos. Эта возможность зависит, в основном, от поддержки имен Windows 2000 службами Kerberos, а не от самого протокола.