Домены в Windows 2000, доверительные отношения между доменами, аутентификация пользователя (протоколы Kerberos и NTLM)

В Windows 2000 вся сеть подразделяется на домены. Домен - это семейство компьютеров, объединенных по некоторому признаку (например, домен "Бухгалтерия", домен "Маркетинг). Домен создается при установке Active Directory на сервер - контролер домена ("Пуск/Настройка/Панель управ-ления/Администрирование/Настройка сервера/Active Directory"). В каждом домене свой набор рабочих групп и список пользователей. Домены имеют древовидную структуру, могут иметь подчиненные домены и подразделения.

В каждом домене назначается свой администратор. Администратор домена имеет право устанавли-вать права доступа только в своем домене. Таким образом, административные права не сконцентрированы в одних руках одного пользователя (как, например, root в Unix/Linux системах), а распределены между адми-нистраторами доменов, каждый из которых отвечает только за свою область. В рамках своего домена, адми-нистратор, путем установки дополнительных разрешений, может делегировать отдельным пользователям часть прав по администрированию домена, снимая с себя лишнюю работу. Например отдельному пользо-вателю/группе пользователей можно делегировать следующие права по управлению подразделением "бух-галтерия": чтение всей информации о пользователе, создание, удаление и изменение информации в учетных записях пользователей (групп пользователей), изменение членства пользователя в группах, смена паролей пользователей, применение к подразделению той или иной групповой политики. Для этого достаточно отдать команду "Пуск/Панель управления/Администрирование/Active Directory – пользователи и компьюте-ры/ Выделить подразделение/Контекстное меню/Делегирование управления". Аналогично выполняется делегирование управление и для других объектов Active Directory: домена, стандартных пользователей (папка "Users"), компьютеров (папка "Computers") и контролеров домена ("Domain controlers").

Между доменами могут устанавливаться доверительные отношения ("Пуск/Панель управле-ния/Администрирование/Active Directory – домены и доверие/Выделить домен/ Контекстное меню/ Свойства/Доверия"). Доверительные отношения означают, что если пользователь прошел регистрацию в домене "Бухгалтерия" (правильно ввел имя и пароль), и между доменом "Бухгалтерия" и доменом "Мар-кетинг" есть доверительные отношения, то пользователь может получить доступ к компьютерам домена "Маркетинг", не проходя там повторную регистрацию. Необходимо отметить, что пользователь домена "Бухгалтерия" даже не имеет в домене "Маркетинг" учетной записи (имя-пароль) и тем не менее может получить доступ к компьютерам "Маркетинга", естественно, в пределах прав, которые администратор домена "Маркетинг" установит для "людей из бухгалтерии". Доверительные отношения между доменами могут быть двусторонними (если А доверяет B, то и B доверяет А) или односторонними (если A доверяет B, то это не означает, что B доверяет A). Двусторонние доверительные отношения являются транзитивными, т.е. если А доверяет B и B доверяет C, то и A доверяет C. Однако в любом случае, взаимодействие доменов в доверительных отношениях происходят только по криптографически защищенным протоколам Kerberos или NTLM, во избежание подмены злоумышленником одной из сторон доверительного взаимодействия.

Протоколы Kerberos и NTLM используются для аутентификации (подтверждении личности) пользо-вателя. Протокол NTLM использовался еще в Windows NT 4.0, а протокол Kerberos появился в Windows 2000. Ниже кратко приведены сведения по этим протоколам:

• протокол Kerberos V5 – специальный протокол, который подтверждает подлинность как поль-зователя, так и сетевых служб. Механизм таков: пользователь входит в сеть, введя свой пароль (система challenge-response) или используя смарт-карту. При правильности введенных данных Kerberos выдает пользователю "билет пользователя" (TGT) на все время нахождения в сети. Имея "билет пользователя", пользователь в любое время может обратиться к Kerberos, для получения "билета службы" (TGS - например, билет для почтовой службы или билет для доверенного домена "Маркетинг"), который во-первых подтверждает для службы подлинность пользователя (содержит зашифрованные данные о пользователе), а во-вторых подтверждает для пользователя подлинность службы, т.к. только подлинная служба (криптографически стойко подключенная к центру распрост-ранения ключей шифрования Kerberos) сможет правильно обработать зашифрованный "билет служ-бы" и правильно ответить пользователю. Для самого пользователя весь этот процесс протекает абсолютно прозрачно: он только вводит свое имя и пароль при подключении к сети.

• аутентификация NTLM – используется для совместимости с предыдущей версией Windows NT 4.0. Система challenge-response: пользователь передает серверу свое имя, сервер возвращает поль-зователю случайное число, при помощи которого пользователь шифрует свой пароль (однонаправ-ленная хэш-функция MD5) и возвращает его серверу, который имея в своей базе подлинный пароль пользователя, выполняет над ним туже операцию хэширования и сравнивает результат с пришед-шим от пользователя. При совпадении – пользователь регистрируется. Такая методика позволяет избежать передачи пароля по сети в открытом виде. Причем каждый раз передается разное значе-ние, перехват которого ничего не даст. Получить пароль по перехваченному хэш-значению, даже зная хэш-функцию – труднорешаемая задача.

Дата добавления: 2014-01-20; Просмотров: 692; Нарушение авторских прав?; Мы поможем в написании вашей работы!