Применение Kerberos в сетях Windows 2000/Server 2003. Совместная работа средств обеспечения безопасности сети.
Аутентификация Kerberos используется многими службами домена Active Directory. Интерфейс SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Kerberos требует минимальных усилий.
Более сложные изменения необходимы на сервере SMB, который не использовал SSPI до версии Windows 2000. Многие новые распределенные службы Windows 2000 используют аутентификацию Kerberos.
Примеры областей применения аутентификации Kerberos в Windows 2000/Server 2003:
- аутентификация в Active Directory с применением LDAP для запросов или управления каталогом;
- протокол удаленного доступа к файлам CIFS/SMB;
- управление распределенной файловой системой DFS;
- защищенное обновление адресов DNS;
- службы печати;
- необязательная взаимная аутентификация IPSec-хостов при работе протоколов ISAKMP/Oakley;
- запросы резервирования для службы качества обслуживания (Quality of Service);
- аутентификация интрасети в службах Internet Information Services;
- аутентификация запросов сертификата открытого ключа, приходящих от пользователей и компьютеров домена, в службах Certificate Services;
- удаленное управление сервером или рабочей станцией с помощью аутентифицированного RPC и DCOM.
Это первый шаг к основной цели, поставленной в Windows 2000, – полному исключению аутентификации NTLM в компьютерных сетях, основанных на этой операционной системе.
Совместная работа средств обеспечения безопасности сети
Домены Active Directory должны иметь возможность одновременно поддерживать клиентские компьютеры и серверы, на которых работает программное обеспечение Windows NT 3.x-4.0, Windows 9х/МЕ, а также Windows 2000/XP и Windows Server 2003. Для этого в Windows Server 2003 остается поддержка аутентификации NTLM, обеспечивающей совместимость с операционными системами более ранних версий.
Обновленные версии клиента Active Directory обеспечивают расширенные возможности аутентификации по протоколу NTLM v.2; хотя протокол Kerberos не поддерживается.