Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Домены в Windows 2000, доверительные отношения между доменами, аутентификация пользователя (протоколы Kerberos и NTLM)

В Windows 2000 вся сеть подразделяется на домены. Домен - это семейство компьютеров, объединенных по некоторому признаку (например, домен "Бухгалтерия", домен "Маркетинг). Домен создается при установке Active Directory на сервер - контролер домена ("Пуск/Настройка/Панель управ-ления/Администрирование/Настройка сервера/Active Directory"). В каждом домене свой набор рабочих групп и список пользователей. Домены имеют древовидную структуру, могут иметь подчиненные домены и подразделения.

В каждом домене назначается свой администратор. Администратор домена имеет право устанавли-вать права доступа только в своем домене. Таким образом, административные права не сконцентрированы в одних руках одного пользователя (как, например, root в Unix/Linux системах), а распределены между адми-нистраторами доменов, каждый из которых отвечает только за свою область. В рамках своего домена, адми-нистратор, путем установки дополнительных разрешений, может делегировать отдельным пользователям часть прав по администрированию домена, снимая с себя лишнюю работу. Например отдельному пользо-вателю/группе пользователей можно делегировать следующие права по управлению подразделением "бух-галтерия": чтение всей информации о пользователе, создание, удаление и изменение информации в учетных записях пользователей (групп пользователей), изменение членства пользователя в группах, смена паролей пользователей, применение к подразделению той или иной групповой политики. Для этого достаточно отдать команду "Пуск/Панель управления/Администрирование/Active Directory – пользователи и компьюте-ры/ Выделить подразделение/Контекстное меню/Делегирование управления". Аналогично выполняется делегирование управление и для других объектов Active Directory: домена, стандартных пользователей (папка "Users"), компьютеров (папка "Computers") и контролеров домена ("Domain controlers").

Между доменами могут устанавливаться доверительные отношения ("Пуск/Панель управле-ния/Администрирование/Active Directory – домены и доверие/Выделить домен/ Контекстное меню/ Свойства/Доверия"). Доверительные отношения означают, что если пользователь прошел регистрацию в домене "Бухгалтерия" (правильно ввел имя и пароль), и между доменом "Бухгалтерия" и доменом "Мар-кетинг" есть доверительные отношения, то пользователь может получить доступ к компьютерам домена "Маркетинг", не проходя там повторную регистрацию. Необходимо отметить, что пользователь домена "Бухгалтерия" даже не имеет в домене "Маркетинг" учетной записи (имя-пароль) и тем не менее может получить доступ к компьютерам "Маркетинга", естественно, в пределах прав, которые администратор домена "Маркетинг" установит для "людей из бухгалтерии". Доверительные отношения между доменами могут быть двусторонними (если А доверяет B, то и B доверяет А) или односторонними (если A доверяет B, то это не означает, что B доверяет A). Двусторонние доверительные отношения являются транзитивными, т.е. если А доверяет B и B доверяет C, то и A доверяет C. Однако в любом случае, взаимодействие доменов в доверительных отношениях происходят только по криптографически защищенным протоколам Kerberos или NTLM, во избежание подмены злоумышленником одной из сторон доверительного взаимодействия.

Протоколы Kerberos и NTLM используются для аутентификации (подтверждении личности) пользо-вателя. Протокол NTLM использовался еще в Windows NT 4.0, а протокол Kerberos появился в Windows 2000. Ниже кратко приведены сведения по этим протоколам:

протокол Kerberos V5 – специальный протокол, который подтверждает подлинность как поль-зователя, так и сетевых служб. Механизм таков: пользователь входит в сеть, введя свой пароль (система challenge-response) или используя смарт-карту. При правильности введенных данных Kerberos выдает пользователю "билет пользователя" (TGT) на все время нахождения в сети. Имея "билет пользователя", пользователь в любое время может обратиться к Kerberos, для получения "билета службы" (TGS - например, билет для почтовой службы или билет для доверенного домена "Маркетинг"), который во-первых подтверждает для службы подлинность пользователя (содержит зашифрованные данные о пользователе), а во-вторых подтверждает для пользователя подлинность службы, т.к. только подлинная служба (криптографически стойко подключенная к центру распрост-ранения ключей шифрования Kerberos) сможет правильно обработать зашифрованный "билет служ-бы" и правильно ответить пользователю. Для самого пользователя весь этот процесс протекает абсолютно прозрачно: он только вводит свое имя и пароль при подключении к сети.

• аутентификация NTLM – используется для совместимости с предыдущей версией Windows NT 4.0. Система challenge-response: пользователь передает серверу свое имя, сервер возвращает поль-зователю случайное число, при помощи которого пользователь шифрует свой пароль (однонаправ-ленная хэш-функция MD5) и возвращает его серверу, который имея в своей базе подлинный пароль пользователя, выполняет над ним туже операцию хэширования и сравнивает результат с пришед-шим от пользователя. При совпадении – пользователь регистрируется. Такая методика позволяет избежать передачи пароля по сети в открытом виде. Причем каждый раз передается разное значе-ние, перехват которого ничего не даст. Получить пароль по перехваченному хэш-значению, даже зная хэш-функцию – труднорешаемая задача.

<== предыдущая лекция | следующая лекция ==>
Пользователи и группы пользователей, права доступа, аудит | Виды политик безопасности
Поделиться с друзьями:


Дата добавления: 2014-01-20; Просмотров: 721; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.013 сек.