Протокол аутентификации Kerberos
Делегирование полномочий на выполнение аутентификации
До сих пор речь шла о случаях, когда клиент получает доступ к одному серверу. Однако приложения часто используют несколько серверов для выполнения одной задачи. Например, чтобы предоставить данные клиенту, веб-приложение может работать как с веб-сервером, так и с сервером баз данных. Вместо того, чтобы ставить клиента перед необходимостью проходить процесс аутентификации для каждого используемого сервера, Windows 2000 обеспечивает безопасность многозвенных приложений (называемых также трехзвенными).
Как говорилось ранее, транзитивные отношения доверия между доменами Windows 2000 значительно расширяют круг ресурсов, к которым клиент Windows 2000 или Windows NT Workstation может получить доступ, выполнив вход только в домен Windows 2000 и не вводя множество разных паролей для других серверов и ресурсов. Такая область доступа, возможная при едином входе, открывается благодаря сочетанию механизмов реализации отношений доверия Windows 2000 и способа работы протокола Kerberos с Active Directory при аутентификации клиентов.
В операционной системе используется единая модель и инфраструктура обеспечения безопасности для создания учетных записей пользователей и управления правами доступа. Установки, однажды заданные в Active Directory, будут действовать на всех серверах приложений компании. Метод, обеспечивающий поддержку трехзвенной модели, называется делегированием полномочий на выполнение аутентификации.
Рисунок 3 – Делегирование полномочий на выполнение аутентификации
Как показано на Рисунке 3, эта модель позволяет клиенту поручать выполнение аутентификации серверам, участвующим в работе приложения. Серверы выполняют запросы на доступ от имени клиента, при этом все передачи учетных данных и билетов происходят без участия пользователя. Однако, хотя вместо клиента действует сервер, объектом аудита считается клиент. Если сервер обрабатывает запрос, перенаправленный ему другим сервером, в его журнале отражается имя клиента, а не промежуточного сервера.
Данная модель является важным элементом Windows 2000, поскольку обеспечивает поддержку единого входа и упрощает систему безопасности, не ослабляя ее. Многие современные приложения в целях безопасности требуют наличия отдельной базы данных учетных записей. Однако приложения, использующие Active Directory в качестве центрального хранилища информации системы безопасности, позволяют намного упростить управление сетями и их масштабирование.
Примечание
Для получения дополнительной информации об аутентификации по протоколу Kerberos обратитесь к документам Аутентификация по протоколу Kerberos в Windows 2000 "Windows 2000 Kerberos Authentication" (EN) и Возможности взаимодействия протокола Kerberos в Windows 2000 Windows 2000 Kerberos Interoperability (EN) в Технической библиотеке Windows 2000 на веб-узле http://www.microsoft.com/windows2000/techinfo/default.asp.