База данных Kerberos. Аутентификация Kerberos в доменах Windows 2000.
Сервер Kerberos должен иметь доступ к базе данных Kerberos, где хранится информация об идентификаторах партнеров по обмену данными и секретные ключи аутентифицируемых партнеров. Реализация сервера Kerberos не предполагает обязательное расположение сервера и баз данных на одной машине.
Существует возможность хранения базы данных партнеров по обмену данными в пространстве имен сети, если записи этой базы защищены от несанкционированного доступа. Однако, с точки зрения целостности и безопасности данных, это не рекомендуется.
Аутентификация Kerberos в доменах Windows 2000
По мере роста и усложнения компьютерных сетей предприятия, построенных на основе Windows NT, становится необходимым применение протокола, обеспечивающего более совершенную и надежную аутентификацию пользователей при доступе к распределенным ресурсам. В операционной системе Windows 2000 для этих целей применяется протокол аутентификации Kerberos версии 5, входящий в систему безопасности доменов Windows 2000, тесно интегрированную с Active Directory. Реализация протокола Kerberos версии 5 в Windows 2000 основана на RFC 1510. Этот документ широко обсуждался и корректировался многими организациями, работающими в области создания и применения защищенных средств передачи информации по компьютерным сетям.
Аутентификация Kerberos полностью отвечает требованиям к протоколам подобного назначения и позволяет создать высокопроизводительную и защищенную сеть предприятия. Программное обеспечение Kerberos, созданное Microsoft, поддерживает всех клиентов, удовлетворяющих RFC 1510. Однако полную поддержку сетей Windows 2000 осуществляет только клиент JCerberos, разработанный Microsoft, поскольку версия Kerberos Microsoft обладает рядом расширений.
Протокол Kerberos интегрирован в существующую модель распределенной безопасности Windows 2000. В Windows 2000 используются расширения протокола Kerberos – так же, как и другие архитектуры безопасности, например DCE и SESAME. Протокол Kerberos – один из протоколов безопасности, поддерживаемых Windows 2000. Кроме него эта операционная система поддерживает протоколы NTML для совместимости с предыдущими версиями, SSL и стандарт IETF безопасности транспортного уровня. В качестве механизма безопасности Windows 2000 использует протокол защищенных переговоров (Simple Protected Negotiation, SPNEGO). Для обеспечения безопасности передачи данных на сетевом уровне применяется технология IP Security (IPSec).