返回
Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt

Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt

ID:55621028

大小:884.50 KB

页数:32页

时间:2020-05-20

Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt_第1页
Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt_第2页
Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt_第3页
Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt_第4页
Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt_第5页
资源描述:

《Active Directory管理和构架-第4部分(身份认证Kerberos及LDAP协议).ppt》由会员上传分享,免费在线阅读,更多相关内容在PPT专区-天天文库

1、议题Kerberos协议LDAP协议第4部分身份认证kerberos及ldap协议身份认证KERBEROS内容Kerberos概念KerberosV5工作原理Ticket的安全传递启用KerberosV5身份验证引言Kerberos最初是MIT(麻省理工学院)为Athena项目开发的,是TCP/IP网络设计的可信任的第三方认证协议Kerberos提供了一种在开放式网络环境下进行身份认证的方法,并允许个人访问网络中不同的机器,它使网络上的用户可以相互证明自己的身份Kerberos这一名词来源于希腊神

2、话“三个头的狗——地狱之门守护者”引言Kerberos采用对称密钥体制(采用DES,也可用其它算法代替)对信息进行加密基本思想是:由于Kerberos是基于对称密码体制,它与网络上的每个实体分别共享一个不同密钥,能正确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证(ticket)Kerberos概述网络上的Kerberos服务器起着可信仲裁者的作用,可提供安全的网络鉴别,允许个人访问网络中不同的机器。基于对称密

3、码学,与网络上的每个实体分别共享一个不同的秘密密钥,是否知道该秘密密钥便是身份的证明。主要包括以下几个部分:客户机(client)服务器(server)认证服务器(AS)票据授予服务器(ticket-grantingserver,TGS)KerberosV5工作原理概述KerberosV5工作原理Kerberos协议分为两个部分1.Client向KDC发送自己的身份信息,KDC从TicketGrantingService得到TGT(ticket-grantingticket),并用协议开始前Cli

4、ent与KDC之间的密钥将TGT加密回复给Client。此时只有真正的Client才能利用它与KDC之间的密钥将加密后的TGT解密,从而获得TGT2.Client利用之前获得的TGT向KDC请求其他Service的Ticket,从而通过其他Service的身份鉴别。Ticket的安全传递概括起来说Kerberos协议主要做了两件事1、Ticket的安全传递。2、SessionKey的安全发布。启用KerberosV5身份验证对于在安装过程中所有加入到WindowsServer 2003或Windo

5、ws2000域的计算机都默认启用KerberosV5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。使用KerberosV5进行成功的身份验证需要两个客户端系统都必须运行Windows2000、WindowsServer 2003家族或Windows XPProfessional操作系统。使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。计算机时钟同步的最大容差本安全设置确定Kerberos V5所允许的客

6、户端时钟和提供Kerberos身份验证的WindowsServer2003域控制器上的时间的最大差值(以分钟为单位)。为防止“轮番攻击”,KerberosV5在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。配置此安全设置:计算机配置Windows设置安全设置帐户策略Kerberos策略demo实验4-0KerberosV5身份验证协议相关设置LADP(轻型目录访问协议)内容何谓目录服务目录服务与数据库LDAP客户端/服务器与X.500服务器之间的

7、关系什么是LDAPLDAP定义了四种基本模型何谓目录服务一种在分布式环境中发现目标的方法目录包括两个主要组成部分:数据库规划—用来描述数据分布式存在协议访问数据处理数据数据库X.500和目录访问协议(DAP)。目录服务与数据库二者有许多共同点均允许对存储数据进行访问目录服务数据库目录主要用于读取目录不适于进行频繁的更新本质上属于典型的分布式结构X.500X.500是由国际电信标准组织所制定的目录服务技术标准,由于架构制定过于庞大复杂且耗费系统资源,所以很难实作而不被业界采用后来OSI为了改善上述

8、问题,便针对X.500标准进行精简,重新规划一种较简洁又有效率的通讯协议,即LDAP(LightweightDirectoryAccessProtocol,轻型目录访问协议)LDAP最早是被当作X.500的前端通讯协议,后来则逐渐演变成以LDAP服务器为主LDAP客户端/服务器与X.500之间的关系请求与回应什么是LDAPLDAP(轻量级目录访问协议)是一种协议定义LDAP服务器和LDAP客户端的之间通讯。LDAP服务器存储“目录”,提供LDAP的客户访问LDAP的是所谓的轻,因为

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。