Применение Kerberos в сетях Windows 2000/Server 2003
Аутентификация Kerberos используется многими службами домена Active Directory. Интерфейс SSPI применяется для аутентификации в большинстве системных служб, поэтому их перевод с аутентификации NTLM на Kerberos требует минимальных усилий. Более сложные изменения необходимы на сервере SMB, который не использовал SSPI до версии Windows 2000. Многие новые распределенные службы Windows 2000 используют аутентификацию Kerberos. Примеры областей применения аутентификации Kerberos в Windows 2000/Server 2003:
- аутентификация в Active Directory с применением LDAP для запросов или управления каталогом;
- протокол удаленного доступа к файлам CIFS/SMB;
- управление распределенной файловой системой DFS;
- защищенное обновление адресов DNS;
- службы печати;
- необязательная взаимная аутентификация IPSec-хостов при работе протоколов ISAKMP/Oakley;
- запросы резервирования для службы качества обслуживания (Quality of Service);
- аутентификация интрасети в службах Internet Information Services;
- аутентификация запросов сертификата открытого ключа, приходящих от пользователей и компьютеров домена, в службах Certificate Services;
- удаленное управление сервером или рабочей станцией с помощью аутентифицированного RPC и DCOM.
Это первый шаг к основной цели, поставленной в Windows 2000, — полному исключению аутентификации NTLM в компьютерных сетях, основанных на этой операционной системе.
|